美國國防部將開始要求承包商必須具備網路安全認證

美國國防部在上周宣布，在今年9月底前，該部門將會要求部份競標國防部合約的承包商具備網路安全認證，此一認證將奠基在國防部所發表的《網路安全成熟度模型認證 1.0 》（Cybersecurity Maturity Model Certification，CMMC），承包商必須依據專案的機密性，而取得不同等級的安全認證。

目前美國國防部將CMMC分為五個等級，從第一等級的基本網路防護（Basic）、中等網路防護（Intermediate）、良好網路防護（Good）、主動防護（Proactive），到第五等級的進階防護（Advanced）。

負責採購業務的國防部副部長Ellen Lord指出，網路安全風險威脅了美國政府及合作夥伴的國防產業與國家安全，每年全球因網路竊盜所損失的金額高達6千億美元；在現今大國的競爭環境中，不管是資訊或技術都是重要的基石，而且對駭客而言，攻擊第二線的供應商比攻擊一線供應商更有吸引力，而CMMC則將同時規範第一線與第二線供應商的網路安全準備度。

該部門的資訊安全長Katie Arrington則說，其實第一等級的基本網路防護很容易就可達到，像是詢問合約商是否部署或定期更新防毒軟體，是否定期更新密碼等問題；第二等級的防護則會另外注重承包商的網路安全程序，確定承包商有效地紀錄、管理、審查及最佳化其網路安全部署。

未來國防部在承包商提案以競標該單位的專案時，都會提出相關的要求，並根據專案的需求而採取不同等級的CMMC認證，相關的認證將由獨立的第三方負責進行。

依照美國國防部的規畫，在今年6月底前，該部門就會公布包含CMMC認證在內的合約，9月底前即會公布包含CMMC認證在內的專案，而到了2026年，美國國防部的所有新合約都將包含CMMC認證要求。