• 晶片資安第一站

網路安全成熟度模型認證 CMMC 概論

2020 年,美國國防部(DoD)宣布,將會要求部份競標的承包商依據專案的機密性,具備相應等級之《網路安全成熟度模型認證 》(Cybersecurity Maturity Model Certification,CMMC);預計到 2026 年,美國國防部的所有採購合約都將包含 CMMC 認證要求。

然而,這跟台灣有什麼關係?原來,CMMC 除了規範直接承包 DoD 的合約廠商之外,為了防範供應鏈攻擊,也進一步規範了第二線供應商的網路安全成熟度。也就是說,台灣廠商若是位於分包商之列,就必須為相應層級的 CMMC 認證做好準備;否則,未來只會被排除在名單之外,或是只能承接安全層級較為基礎的合約。

什麼是 CMMC

CMMC 是一套以 NIST SP 800-171 為基礎並混合其他法規、標準的認證機制,涵蓋從「基本網路安全衛生」到「進階/漸進」等多個成熟度級別。這五個等級各自以前一等級的流程管理與實作規範為基礎,逐步提高要求,分別是:

  • 等級 1 – 基礎網路安全衛生
  • 等級 2 – 中級網路安全衛生
  • 等級 3 – 良好網路安全衛生
  • 等級 4 – 主動防護
  • 等級 5 – 進階/漸進

據估計,將有超過 30 萬個國防產業基地(DIB)組織將需要進行 CMMC 評定和認證。這包括主要承包商、分包商,通常包括向 DoD 銷售產品或提供服務的所有組織。

至於認證方面,DoD 創建了獨立機構 CMMC 顧問委員會 (CMMC-AB),負責管理 CMMC 第三方評鑑組織(C3PAO)、評估人員 DIB 實體的 CMMC 認證程序。而考慮到 CMMC 是全新的認證機制,首波驗證的標準可能會相當高,因此盡早開始著手準備驗證可以有效節省時間並確保企業在供應鏈中的位置。

Share:
This site is registered on wpml.org as a development site.