美國防部CMMC認證計畫推2.0版，建立國防供應鏈網路安全成熟度新標準

供應鏈威脅與日俱增，全球都在關注，除了多年來強調的軟體業者要從安全程式碼開發做起，導入SSDLC流程，供應商本身的安全該如何受到要求與規範，同樣是全球政府與產業資安關注的一大焦點。近年來，美國國防部提出一項計畫，稱之為「網路安全成熟度模型認證」，全名是Cybersecurity Maturity Model Certification（CMMC），受到各界極大關注，這是該單位為供應商制定的首套網路安全標準。

這項計畫，是在2020年1月31日正式發布1.0版，根據美國國防部（DOD）的說明，目的是要求競標國防合約的公司，在回應提案時，需證明自己符合其網路安全成熟度。

簡言之，美國國防部將開始要求國防部的承包商，必須具備網路安全認證，並需依據專案的機密性，取得不同等級的認證，而且，其內容不只規範一線供應商（承包商），也將涵蓋二線等供應商（分包商）。

到了2021年11月，美國國防部再提出CMMC 2.0版。基本上，這個認證的主要目的，就是要評估美國國防部承包商的網路安全能力，而2.0版的修訂，希望確保承包商遵循最佳實務做法，以保護網路上的敏感資訊，同時也使中小型業者更容易遵守這些規範。

預計在2026財年，CMMC將成美國國防採購案的必要需求

基本上，CMMC框架是從2019年開始發展，最初可追溯到2007年，當時美國國防工業基地（DIB）的網路安全工作組成立之際，就已經開始進行，到了2015年，美國國防部發布DFARS 252.204-7012，以及美國國家標準暨技術研究院（NIST）發布SP 800-171安全標準，都與後續發展的CMMC有相當的關聯。

隨著網路安全風險日益嚴峻，國家安全與供應鏈安全問題開始更受重視，CMMC在2019年開始被提出。

在2020年發布CMMC 1.0版之時，時任擔任美國國防部副部長、負責採購與後勤的Ellen M. Lord表示，網路安全風險威脅著國防工業與美國政府，以及其盟友和合作夥伴的國家安全，造成每年平均6,000億美元的損失。

她指出，在當今世界強權競爭環境中，對手都知道，資訊與技術是關鍵的基石，而且，攻擊二線等供應商（分包商），遠比攻擊主要供應商更具吸引力。

為此，美國將在2026財年（2026年9月30日）時，規範所有新的國防部採購案（合約）都將納入CMMC的要求。

換言之，未來供應商要跟美國國防部做生意，將需要達到不同專案所要求的CMMC等級，才能承包其業務。

這對於要跟美國國防部做生意的臺灣企業而言，同樣必須重視。這是因為，若國內供應商取得高等級的認證，與軍方做生意，不只自身網路安全能力必須提升，市場給予的網路安全信任度也將增加。

更進一步來看，這項CMMC認證機制，不僅可推動提升網路防護能力，未來也可能受到業界擴大採用，值得密切關注。畢竟，美軍在國防工業的網路防護要求如今已形成一套無法忽視的規範，而對於全球企業而言，CMMC認證也可能成為企業資安防護所看重的新標準。

在2020年1月31日，美國推出網路安全成熟度模型認證CMMC 1.0，時任擔任美國國防部副部長的Ellen M. Lord（左2）宣布這項計畫，並預告將在2026財年（2026年9月30日），規範所有新的國防部合約都需具備CMMC的要求。（圖片來源／美國國防部）

推動CMMC第三方評估認證制度，聚焦保護FCI與CUI

CMMC的特性主要有下列三點：第一是具有「分層模型」的概念，要求國防部供應商需根據資訊的類型與敏感性，逐步實施網路安全標準，同時這項計畫還規定了，將資訊向下傳遞給二線供應商的流程。

第二是「評估要求」，有了CMMC評估，將促使部門能夠驗證出明確的網路安全標準實施情形。

第三是「透過合約實施」，一旦CMMC完全實施，對於處理敏感未分類國防部資訊的供應商而言，若要取得合約，供應商本身需具備的條件，是達到特定的CMMC等級。

如此一來，可藉由建立分級制度，將安全層級明確訂出，而最重要的部分則是，CMMC認證將經由美國國防部授權的第三方評估機構（C3PAOs）進行，以判定供應商是否合格。目前，美國防部也在推動第三方評估機構與諮詢單位，並培訓相關人員與完善評估工具

關於CMMC模型運用的主要目的，我們可以參考美國國防部副部長辦公室採購與後勤處（OUSD A&S）的說明，當中提到：加強保護聯邦合約資訊（Federal Contract Information，FCI），以及更進一步保護受控未分類資訊（Controlled unclassified information，CUI）。

簡單來說，根據聯邦採購條例（FAR）第4.1901節的規定，FCI是由政府合約提供或產生的資訊，包括為政府開發或交付產品的產品或服務的內容，屬於政府不公開的資訊，但不包含政府向公眾提供的資訊。

在CUI方面，美國政府已推動發展10多年，簡單來說，這是指由政府或承包商代表政府所提供或擁有的資訊，雖然並非需要保密，但仍然具有機密性且需要保護，特別是在國家資訊安全防護的需求之下，CUI將需要更高層度的保護。而在2015年發展出的NIST SP 800-171，就是聚焦於CUI的安全標準，後續並在2020年2月發布修訂版2。

對於CUI的保護，或許我們以政府不公開資訊來看待，會更容易理解這個概念。因為相關敏感資訊雖不到保密層級，不過，若是公開，可能會有潛在危害，所以要限制公開或控制其資訊傳播。P 64

在2021年11月，美國政府推出CMMC 2.0版，這項網路安全成熟度模型認證計畫，有了進一步的簡化與改善，除了以NIST SP 800-171為基礎，並將認證等級調整為3級，建立供應鏈資安生態體系，特別是在國防合約資訊與受控非機敏資訊方面，讓每個供應商都應具備基本資安能力，（圖片來源／OUSD A&S）

CMMC 2.0版簡化合規要求，認證等級畫分三級

在2021年11月，美國國防部發布CMMC 2.0版，與前一版內容相比，最明顯的差異，就是網路安全成熟度的認證級別上的變化。

具體而言，美國國防部在原先的CMMC 1.0版中，畫分出五種認證等級，由第一級到第五級由低至高排序，包括：基本網路防護（Basic）、中等網路防護（Intermediate）、良好網路防護（Good）、主動防護（Proactive），以及進階防護（Advanced）。

在2.0版將有所調整，省略原本第二級與第四級的過渡階段，簡化為三個等級：第一級為基礎防護級（Foundational），第二級為進階防護級（Advanced），第三級為專家防護級（Expert）。同時，CMMC也朝向與NIST標準保持一致。

之所以發展出改進簡化的CMMC 2.0版，主要是美國國防部在徵求公眾意見後，為了讓中小企業更容易施行，因而進行改良，當中不僅簡化認證標準，減少評估費用，也讓合規要求所面臨的障礙最小化。

以NIST 800-171為基礎，第二級將遵循110項安全控制措施

這三個成熟度等級有何差異？

簡單來說，以第一級，也就是基礎級而言，僅適用於具有FCI的公司。資訊需要保護，但對於國家安全並不重要。這裡的規範著重基本的網路衛生，如今則轉變為年度自我認證，不用外部評估。

以第二級、亦即進階級而言，主要適用於保護CUI的公司。這裡將以NIST 800-171的110個控制項作為基準要求，目前已推出第二版，並規範每三年進行一次第三方評估。

若以第三級，也就是專家級而言，對於CUI的保護需要有最高優先等級。具體內容將以2021年2月發布的NIST 800-172為基準來要求，它是基於NIST 800-171而予以增強後的產物，將具有比110個控制項更多的內容，並是由政府主導的3年制評估。因此，3種等級各自要求的資安控制範圍不同，評估形式也有所不同。

值得關注的是，在2021年12月，美國OUSD A&S已經提供CMMC Level 1自評指引的文件，以及CMMC Level 2評估指引。

簡單來說，在Level 1自評指引中，談到6大安全控制類型的遵循，包括存取控制、識別與認證、多媒體防護、實體防護、系統與通訊防護，以及系統與資訊完整性，共17個控制項，這部分均與合約資訊有關。

在Level 2評估指引中，主要遵循14大安全控制類型，除了上述6類，還包括意識與培訓、稽核與問責、配置管理、事件回應、維運、個人安全、風險評估與資安評估，共110項規範。至於Level 3的評估指引，目前仍在開發中。

針對Level 1與Level 2需落實的NIST SP 800-171安全控制項目，在2021年12月，美國國防部副部長辦公室採購與後勤處（OUSD A&S）提供了一份可供對照的Excel表格。基本上，Level 1自評項目聚焦於6大資安控制類型，共17個控制項；而Level 2需經第三方驗證，除了要符合Level 1的17個控制項目，還要做到另外93個控制項，也就是總共14大資安控制類型，共110個控制項。

美國OUSD A&S在2021年12月也已提供相關評估指引，例如，上圖為CMMC Level 2評估指引中的部分內容，章節內容涵蓋14大資安控制類型的110個控制項。

一旦CMMC 2.0實施，承包商和分包商合約中所要求的 CMMC級別，將在徵求承包廠商意見階段即提出。另外，美國OUSD A&S還提出強化資安的五大步驟，包括教育民眾認識網路威脅，實施存取控制，驗證使用者，監控實體空間，以及更新資安防護。特別的是，由於大多數網路安全事件都因使用者犯錯而開始，為了讓民眾瞭解基本安全意識，美國國防部還建立了Project Spectrum的專案網站，可為企業組織提供網路安全資訊、資源、工具與培訓的內容。