FIND研究員:李啟榮
自從美國國防部在2021年將「網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)」,從原本的五級調整為三級之後,每個級別對應的技術能力需求也有連帶變化,藉此降低合規門檻,讓更多國防承包商參與美軍CMMC認證。
另外,CMMC除了針對美國國內國防承包商外,美國國外(包含台灣)的國防承包商也要符合CMMC技術能力需求,以打入美軍資安產業鏈為契機,也能為我國資安技術能力提升可見度和知名度,或有機會爭取國軍甚至美軍選用我國資安方案。
技術發展背景
CMMC自2019年推出v1.0後,為因應國防承包商的分包商(轉包商、Subcontractors)針對原本CMMC v1.0有難以達到驗收需求的門檻,美國國防部就著手修訂CMMC,並在2021年11月推出CMMC 2.0版,將五級架構簡化為三級架構,原本的第2、第4級架構在2.0版被淘汰,新制第2級(舊制第3級)、新制第3級(舊制第5級)分別加強了與NIST SP800-171、NIST SP800-172的連結,凸顯「受控非機密資訊(Controlled Unclassified Information, CUI)」的安全防護重要性,讓主包商和分包商,比以往更容易了解和上手CMMC的需求。
技術介紹與應用現況
CMMC的v1.0版總共分為五級,以及其對應需求,以下要求均得接受第三方評鑑:
1.基礎級:針對聯邦合約資訊(Federal Contract Information, FCI)的基本防護
2.中階級:同上者,但防護需求更優
3.良好級:應具備CUI的基本防護需求
4.主動級:同上者,但有更主動的防護和因應措施
5.進階級:應具備CUI的進階防護需求
到了CMMC v2.0,則改為如下三級以及其對應需求,並改動了評鑑機制與各級評鑑單位:
1.基礎級:僅針對FCI的基本防護,承包商應每年一次自評
2.進階級:應具備CUI的基本防護需求,承包商應三年一次由第三方業者評鑑
3.專家級:應具備CUI的進階防護需求,承包商應三年一次由政府端評鑑
藉由CMMC分級架構的變動所帶來的評鑑單位變動,可望協助國防承包商和分包商更容易滿足需求,例如分包商可以僅做到基礎級,而上級的統包商則需要進階級以上的需求,可讓統包商和分包商能依據各自的能力和CMMC的需求,實現分工合作、提升交付效率和品質。
未來展望/挑戰
有鑑於台灣國防相關產業有爭取CMMC認證的呼聲,來打入美國國防供應鏈,強化美軍和國軍資安需求;加上台灣往往有國安和機密保護方面的擔憂,藉由讓我國國防產業,無論統包商或分包商,若能爭取CMMC的認證,可有益於「資安即國安」的落實,並與美國國務院主導的「乾淨網路」雙軌並行,強化台灣資安和國際先進技術的連結。
封面圖片經圖庫123RF授權使用
參考資料:
1.Armond, A. (2020, February 4). CMMC Version 1.0 Released – Analysis for DoD contractors. Retrieved from CMMC Audit Preparation:
https://www.cmmcaudit.org/cmmc-version-1-0-released-analysis-for-dod-contractors/
2.CMU, JHU. (2021, December). Cybersecurity Maturity Model Certification (CMMC) Model Overview. Retrieved from U.S. DoD: https://dodcio.defense.gov/Portals/0/Documents/CMMC/ModelOverview_V2.0_FINAL2_20211202_508.pdf
3.Katz, A. (2021, November 12). CMMC 2.0 Eases Compliance Burden for DoD Contractors and Subcontractors. Retrieved from Tevora:
https://www.tevora.com/blog/cmmc-20-eases-compliance-burden-for-dod-contractors-and-subcontractors/
