國防部推出網路安全新規範 CMMC,請廠商務必遵守
美國國防部在 2020 年一月底公布新規範 「網路安全成熟度證書Cybersecurity Maturity Model Certification」(簡稱 CMMC),要求所有與國防部承約或次承約的廠商遵守。國防部預計在 2020 年六月後,開始在些許建議徵求書 (RFP) 和資訊徵求書 (RFI) 中納入 CMMC,並計畫在 2026 年之前讓CMMC 成為所有國防部採購案的必要需求。
緣起
美國整體每年平均因網路安全所造成的損失達六千億美金。目前國防部的供應鏈,從極音速武器到皮革工廠,大約有三十萬家承約商,而其中約有二十九萬家基本上沒有任何的網路安全措施。美國政府近幾年決定大加整頓國防供應鏈,而網路安全被視為首要議題。在此之前,國防部請廠商遵循 DFARS 252.204-7012 以及 NIST 800-171 裡所敘明的規範,其中包括廠商須自行認證一百一十項資訊安全項目。然而問題其一在於這是由廠商自我認證,其二是國防部並未特別看重此標準。
CMMC 的新標準
CMMC 將以過去的 NIST 800-171 作為基準,但加入更多規則以及審查方式。最大的不同便是今後廠商須經由國防部所授權的網路第三方評估單位 (cyber third-party assessors; C3PAOs) 認證。國防部將會依合約特性,要求符合的 CMMC 等級。最重要的是, CMMC的認證也會成為國防部用來判定廠商 go 或是 no go 的硬性二元標準,不同於以往只用來當參考。
CMMC 將 「maturity model 成熟度模型」分為五級,而每一級皆由程序 (process) 及操作 (practice) 兩部分組成。廠商要獲得某一層級的認證,則必須符合該層級和以下所有層級的程序及操作的標準。
