最近聽到美國要求國內部分企業導入CMMC，部分單位正在協助企業實施自我評估作業，對於CMMC國內企業有太多的疑問，我整理了一些常見的問題，協助大家更加了解CMMC
一、 CMMC的狀態：CMMC現正執行法制化的階段，相關法令還在研擬當中，原先預計五月份要完成，目前草案還沒有公布。
二、 CMMC對外國廠商的要求：除非直接參與美國國防部的採購案，我國廠商多為美國國防部職主合約商的次合約商，所以要看主合約商到底傳送甚麼等級的資訊(CUI、FCI)給次合約商，相關要求會寫在主合約商的合約中，目前官方的說法如次；The DoD intends to maintain its existing cybersecurity requirements (as defined in FAR 52.204-21 and DFARS 252.204-7012), and enforce them where applicable. The DoD will continue to engage with our international partners regarding mutual agreement on necessary cybersecurity standards, and will ensure that foreign companies that support U.S. warfighters are equipped to safeguard FCI and CUI.
三、 CMMC的LEVEL：要看公司所接受的資訊等級，如果只有FCI需要等級一，如果有CUI需要等級二。
四、 台灣有沒有合格的輔導機構：沒有，CMMC AB有公布合格的RPO(輔導機構)查詢網址如次：https://cyberab.org/Catalog#!/c/s/Results/Format/list/Page/1/Size/9/Sort/NameAscending?typeId=3
五、 在大家都沒有經驗的情況下如何導入CMMC：因為這項標準是國外寫的，翻譯大家都會，但是實質要求究竟為何，如何執行自我評估，都是困難重重，建議尋求與美方合格顧問公司合作的國內顧問公司，經由美方有經驗的顧問協助，以免浪費時間及成本。
六、 如何開始導入CMMC：建議從LEVEL 1開始，建立SSP及相關程序書規範，在執行自我評估作業，確認符合性。
七、 SSP系統安全計畫是不是每一個資訊系統要寫一份：國內大多數的顧問或諮詢機構未深入了解SSP系統安全計畫的內涵，只是拿著國外範本要大家抄，SSP應該是以資訊流為主，以CUI及FCI的資訊流為主，以資訊流經過的範圍去建立SSP。

關於CMMC 如何導入，最近會有一場說明會請參考下列資訊
https://ingsafe.tw/cmmc