美國國防部在 2020 年1月底公布新規範 「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱 CMMC),要求所有與國防部合約或次合約商共同遵守。國防部原規劃於 2021 年後,開始在部分建議徵求書 (RFP) 和資訊徵求書 (RFI) 中納入 CMMC,並計畫在 2026 年之前讓CMMC 成為所有美國國防部採購案的強制性要求。
在經歷了2021年的試行及選擇數個現有合約進行驗證,並蒐集各方的意見後,發現原有規劃之CMMC制度需要進行修正,主要原因在於CMMC1.0雖然參考NIST SP-800-171相關管控作法訂定,但是其要求及驗證規則過於嚴苛。特別對於中小型企業來說,導入如此複雜的管控措施,需要更多的成本,且原先標準未區隔範圍及允許風險持續改善規劃,造成制度推行及驗證上的困難,因此訂定CMMC2.0版修正相關作法,以達成確保美國國防資訊安全之目標。
2021年11月美國國防部正式宣布修正CMMC1.0為2.0版,並決定暫時中止原先的試行計畫,直接進入立法程序。立法工作預計耗時9-24個月的時間完成,未來將直接實施CMMC2.0制度,美國國防合約商及其合約履行相關的廠商必須遵循規範要求。其主要制定精神為保護採購部門與其合約商和次合約商共享的敏感非機密資訊,將一系列網路安全要求納入採購計劃,並為美國國防部提供更多保證。
CMMC 2.0 模型精簡為3個等級,相較於原有5的等級,CMMC 2.0移除 CMMC 1.0 中第 2 級和第 4 級,這兩個級別本來就是作為過渡級別而開發,美國國防部從一開始就沒有規劃評估要求,CMMC 2.0根據資訊類型,建立三個逐漸成熟的級別:
– 第1級(基礎級):僅適用於擁有 FCI 的合約商;資訊需要保護,但對國家安全並不具關鍵性;
– 第2級(進階級):適用於具有 CUI 的合約商;
– 第3級(專家級):用於具有 CUI 的最高優先級別專案。
CMMC 2.0要求將對應至 NIST SP 800-171 和 NIST SP 800-172,移除所有 CMMC 1.0 特有的實務做法和成熟度過程。持續與 NIST 共同合作來解決 NIST SP 800-171 中執行上的差距,將成熟度第2級要求與NIST SP 800-171 保持一致,成熟度第3級將使用NIST SP 800-172 要求中特定項目的管控措施。
另外,本次修正特別為因應在試行期間所發現不符合事項的矯正作法(POA&M),故CMMC 2.0 將允許有限度使用 POA&M嚴格時限(可能為180天),合約官員可以使用正常的合約補救措施來解決合約商在規定的時間表後未能滿足其網路安全要求的問題;在具最高權重的要求上,則不允許使用POA&M;亦將建立“最低分數”評估要求,以支持有 POA&M 存在的證書的有效性。
有關評估及導入步驟請參考
https://ingsafe.tw/cmmc