FIND研究员∶李启荣
自从美国国防部在2021年将「网路安全成熟度模型认证(Cybersecurity Maturity Model Certification, CMMC)」,从原本的五级调整为三级之後,每个级别对应的技术能力需求也有连带变化,藉此降低合规门槛,让更多国防承包商参与美军CMMC认证。
另外,CMMC除了针对美国国内国防承包商外,美国国外(包含台湾)的国防承包商也要符合CMMC技术能力需求,以打入美军资安产业链为契机,也能为我国资安技术能力提升可见度和知名度,或有机会争取国军甚至美军选用我国资安方案。
技术发展背景
CMMC自2019年推出v1.0後,为因应国防承包商的分包商(转包商、Subcontractors)针对原本CMMC v1.0有难以达到验收需求的门槛,美国国防部就著手修订CMMC,并在2021年11月推出CMMC 2.0版,将五级架构简化为三级架构,原本的第2、第4级架构在2.0版被淘汰,新制第2级(旧制第3级)、新制第3级(旧制第5级)分别加强了与NIST SP800-171、NIST SP800-172的连结,凸显「受控非机密资讯(Controlled Unclassified Information, CUI)」的安全防护重要性,让主包商和分包商,比以往更容易了解和上手CMMC的需求。
技术介绍与应用现况
CMMC的v1.0版总共分为五级,以及其对应需求,以下要求均得接受第三方评鉴∶
1.基础级∶针对联邦合约资讯(Federal Contract Information, FCI)的基本防护
2.中阶级∶同上者,但防护需求更优
3.良好级∶应具备CUI的基本防护需求
4.主动级∶同上者,但有更主动的防护和因应措施
5.进阶级∶应具备CUI的进阶防护需求
到了CMMC v2.0,则改为如下三级以及其对应需求,并改动了评鉴机制与各级评鉴单位∶
1.基础级∶仅针对FCI的基本防护,承包商应每年一次自评
2.进阶级∶应具备CUI的基本防护需求,承包商应三年一次由第三方业者评鉴
3.专家级∶应具备CUI的进阶防护需求,承包商应三年一次由政府端评鉴
藉由CMMC分级架构的变动所带来的评鉴单位变动,可望协助国防承包商和分包商更容易满足需求,例如分包商可以仅做到基础级,而上级的统包商则需要进阶级以上的需求,可让统包商和分包商能依据各自的能力和CMMC的需求,实现分工合作、提升交付效率和品质。
未来展望/挑战
有鉴於台湾国防相关产业有争取CMMC认证的呼声,来打入美国国防供应链,强化美军和国军资安需求;加上台湾往往有国安和机密保护方面的担忧,藉由让我国国防产业,无论统包商或分包商,若能争取CMMC的认证,可有益於「资安即国安」的落实,并与美国国务院主导的「乾净网路」双轨并行,强化台湾资安和国际先进技术的连结。
封面图片经图库123RF授权使用
参考资料∶
1.Armond, A. (2020, February 4). CMMC Version 1.0 Released ˉ Analysis for DoD contractors. Retrieved from CMMC Audit Preparation:
https://www.cmmcaudit.org/cmmc-version-1-0-released-analysis-for-dod-contractors/
2.CMU, JHU. (2021, December). Cybersecurity Maturity Model Certification (CMMC) Model Overview. Retrieved from U.S. DoD: https://dodcio.defense.gov/Portals/0/Documents/CMMC/ModelOverview_V2.0_FINAL2_20211202_508.pdf
3.Katz, A. (2021, November 12). CMMC 2.0 Eases Compliance Burden for DoD Contractors and Subcontractors. Retrieved from Tevora:
https://www.tevora.com/blog/cmmc-20-eases-compliance-burden-for-dod-contractors-and-subcontractors/
