Cybersecurity Maturity Model Certification
美國國防部網路安全成熟度模型認證

CMMC概述

美國國防部在 2020 年1月底公布新規範 「網路安全成熟度模型認證Cybersecurity Maturity Model Certification」(簡稱 CMMC),要求所有與國防部合約或次合約商共同遵守。國防部原規劃於 2021 年後,開始在部分建議徵求書 (RFP) 和資訊徵求書 (RFI) 中納入 CMMC,並計畫在 2026 年之前讓 CMMC 成為所有美國國防部採購案的強制性要求。


在經歷了2021年的試行及選擇數個現有合約進行驗證,並蒐集各方的意見後,發現原有規劃之CMMC制度需要進行修正,主要原因在於CMMC1.0雖然參考NIST SP-800-171相關管控作法訂定,但是其要求及驗證規則過於嚴苛。特別對於中小型企業來說,導入如此複雜的管控措施,需要更多的成本,且原先標準未區隔範圍及允許風險持續改善規劃,造成制度推行及驗證上的困難,因此訂定CMMC2.0版修正相關作法,以達成確保美國國防資訊安全之目標。


2021年11月美國國防部正式宣布修正CMMC1.0為2.0版,並決定暫時中止原先的試行計畫,直接進入立法程序。立法工作預計耗時9-24個月的時間完成,未來將直接實施CMMC2.0制度,美國國防合約商及其合約履行相關的廠商必須遵循規範要求。其主要制定精神為保護採購部門與其合約商和次合約商共享的敏感非機密資訊,將一系列網路安全要求納入採購計劃,並為美國國防部提供更多保證。


CMMC 2.0 模型精簡為3個等級,相較於原有5的等級,CMMC 2.0移除 CMMC 1.0 中第 2 級和第 4 級,這兩個級別本來就是作為過渡級別而開發,美國國防部從一開始就沒有規劃評估要求,CMMC 2.0根據資訊類型,建立三個逐漸成熟的級別:

  • • 第1級(基礎級):僅適用於擁有 FCI 的合約商;資訊需要保護,但對國家安全並不具關鍵性;
  • • 第2級(進階級):適用於具有 CUI 的合約商;
  • • 第3級(專家級):用於具有 CUI 的最高優先級別專案。
CMMC 2.0要求將對應至 NIST SP 800-171 和 NIST SP 800-172,移除所有 CMMC 1.0 特有的實務做法和成熟度過程。持續與 NIST 共同合作來解決 NIST SP 800-171 中執行上的差距,將成熟度第2級要求與NIST SP 800-171 保持一致,成熟度第3級將使用NIST SP 800-172 要求中特定項目的管控措施。


另外,本次修正特別為因應在試行期間所發現不符合事項的矯正作法(POA&M),故CMMC 2.0 將允許有限度使用 POA&M嚴格時限(可能為180天),合約官員可以使用正常的合約補救措施來解決合約商在規定的時間表後未能滿足其網路安全要求的問題;在具最高權重的要求上,則不允許使用POA&M;亦將建立“最低分數”評估要求,以支持有 POA&M 存在的證書的有效性。

框架內容


CMMC 2.0 框架具有三個關鍵特性:

  • 一、分層架構模型:CMMC 要求受託負責國家安全資訊的公司根據資訊的類型和敏感性,在逐步提高的分層架構上實施網路安全標準。該計畫規定了將資訊向下傳遞給次合約商的流程。
  • 二、評估要求:CMMC 評估允許美國國防部驗證網路安全標準實施情況
  • 三、通過合約實施: CMMC 正式實施後,將要求某些處理敏感非機密資訊的合約商達到特定的 CMMC 級別作為合約簽訂的條件。
要求將對應至 NIST SP 800-171 和 NIST SP 800-172,移除所有 CMMC 特有的實務做法和成熟度過程,與 NIST 共同合作來解決 NIST SP 800-171 中執行上的差距,將等級2與NIST SP 800-171 保持一致,等級3 將使用NIST SP 800-172 要求中特定項目的管控措施。


CMMC2.0要求從五個簡化為三個網路安全級別——基礎級、進階級和專家級,並將每個級別的要求與眾所周知且廣泛接受的 NIST 網路安全標準保持一致,CMMC 2.0 實施後,將在招標需求資訊 (RFI) 中指定合約商和次合約商所需的 CMMC 級別將在招標需求資訊 (RFI) 中指定。

CMMC評估


CMMC 2.0 簡化並增加了網路安全評估過程中的評估制度,根據與合約商分享的資訊的敏感性實施分層評估要求:

  • 一、 不處理被認為對國家安全相關的重要資訊(第1級和第2級的部分)合約商將被要求根據明確闡述的網路安全標準進行年度自我評估:
  • 第1級(“基礎級”)合約商參與開發和加強他們的資訊安全方法。由於第1級不涉及敏感的國家安全資訊,故允許公司評估自己的資訊安全並開始採用能夠阻止網路攻擊的做法;同樣,具有 第2級(“進階級”)要求的項目部分不涉及對國家安全至關重要的資訊,只需要進行自我評估。合約商將被要求每年進行一次自我評估,並附有公司高階主管的年度確認,即符合要求。合約商亦必須將自我評估成果提交至美政府供應商績效風險系統 (SPRS) 並獲得確認。

  • 二、 管理對國家安全相關的重要資訊(第2級的部分)的合約商將被要求接受第三方評估:
  • CMMC-AB 將認可 CMMC 第三方評估機構 (C3PAO) 和 CMMC 稽核員和講師認證機構 (CAICO)。經認可的 C3PAO 將在 CMMC-AB 市場上列出,合約商將全權負責獲得所需的評估和認證,包括協調和規劃 CMMC 評估,CMMC評估完成後,C3PAO將向國防部提供評估報告,作為 CMMC 2.0 實施的一部分。國防部將核准適用於 CMMC 生態系統的所有 CMMC-AB 利益衝突相關政策;此外,在國際標準符合性,CMMC-AB 運作必須符合 ISO/IEC 17011 標準;C3PAO 將被要求遵守 ISO/IEC 17020,而 CAICO 將被要求符合 ISO/IEC 17024 要求。

  • 三、 最高優先級、最關鍵的國防計劃(第3級)將需要政府主導的評估。
  • 美國防部現正制定相關做法中。



CMMC執行

CMMC2.0與1.0除了簡化控制措施外,明確訂定導入的範圍,並且撰寫有關範圍的指引。主要是以資訊流(CUI及FCI)會經過的實體及資產作為區分,先明確定義資訊流,再依據其流程確認邏輯及實體邊界,並找到相關的資產。

確認範圍之後,針對範圍內所有流程、資產進行管控措施,第1級應符合的17項要求是依照FAR Clause 52.204-21 Basic Safeguarding of Covered Contractor Information Systems的規範執行;第2級則是參照NIST 800-171執行;第3級規畫參照NIST SP 800-172執行,整體相關管控措施及做法均有詳細的說明。美國國防部已經發布第1級和第2級的評估指引,原則上遵循NIST指引進行評估。


NIST SP 800-171主要區分14個領域,每一個領域區分控制措施內容及目標,如下圖。


經本司詳細研討與規劃,所擬訂之建置流程如下圖:

結論

美國國防部原採用臨時性規則(Interim rule)發布的做法,以進行CMMC 試行工作和強制性 CMMC 認證;現變更為採取直接立法的方式,將CMMC符合性轉換為法遵面的強制性的要求。預計完成所有規則制定要求的時程為9至24個月,包括強制性的 60 天公眾意見徵詢期和同時進行的國會審查。離正式立法公告也許尚有一段時程,所有美國防部合約商或次合約商達成CMMC符合性卻是勢在必行。況且,要建置具有CMMC符合性的運作必須及早規劃、實施和投入資源。每間公司的現況不同,以一個有效且確實的CMMC制度而言,公司應該盡快導入CMMC制度,才能有機會在正式立法公布前做好準備。也因如此,美國防部鼓勵合約商在CMMC 2.0尚未立法通過的過渡期間,持續強化網路安全。如果,在過渡期間自願獲得 CMMC 2.0 第2 級認證的合約商,將有可能獲得獎勵,但這仍屬於自願性作法。


對於非美國合約商,美國國防部打算與國際合作夥伴建立與網路安全相關的協議,並確保為外國公司能夠保護敏感的國家安全資訊。這些協議將建立一個框架來解決 CMMC 對非美國公司的適用,協議的實施將通過規則制定過程來完成。


以目前CMMC規劃及法規制定時程來看,在有需要導入CMMC的合約商或次合約商,必須及早開始準備相關導入工作。本公司現與國外RPO合作,可有效協助您符合CMMC各級別的要求,若有任何CMMC需求,歡迎與我司連絡洽詢;同時也建議您,先徵詢主合約商的意見及相關作法,以爭取更大的商機。

特別說明

目前美方認證機構並未開放美國地區以外的顧問及顧問公司提供RPO及RP服務,咨安係與美方顧問公司合作提供有效且經過核可之服務,我們的顧問與美方溝通順利,輔導過程中客戶也可參加與美方顧問的討論,我們提供以英文為主的文件,透過討論修訂後翻譯成中文,在執行上才不會造成困擾,要強調的是本項認證是由美國的驗證機構執行,如果不了解美方實際作法及要求,貿然請國內顧問公司依靠翻譯文件進行導入,若無法通過認證,導致成本增加,無法獲得合約,所以一定要慎選輔導顧問,咨安將成為您堅強的後盾,提高通過認證的機會。

CMMC LEVEL 1 輕鬆導入工具訂購單

CMMC_LEVEL1輕鬆導入工具訂購單_咨安資訊.pdf