美国防部10月15日公布CMMC 2.0版，12月16日开始分阶段实施

美国的国防工业基地（Defense Industrial Base，DIB）业者，国防部（DoD）区分为一线供应商（承包商）和二线供应商（分包商），这些业者若面临处理、传输和储存与联邦合约资讯（Federal Contract Information，FCI）以及受控未分类资讯（Controlled unclassified information，CUI），都需要依据保护相关资料所面临的网路安全风险，取得「网路安全成熟度模型认证（Cybersecurity Maturity Model Certification）」，简称CMMC。

经过长期的研拟，10月15日这天，美国国防部将CMMC 2.0最终版（Final Rule）公布在联邦公报（Federal Register），六十天后（12月16日）正式生效；此次CMMC 2.0版将原先1.0版的五个等级认证，简化成为三个等级，以三年、四个阶段实施三个等级的认证，预计2027年12月16日全面纳入国防采购合约。

CMMC 2.0版认证的主要目的，就是要评估美国国防部相关承包商与供应链业者的网路安全防护能力，而2.0版的修订，不只是希望确保承包商能够遵循最佳实务做法，以保护网路上的敏感资讯，同时也使中小型业者（SMB）更容易遵守这些规范。

规范国防承包商保护FCI和CUI的网路安全措施

CMMC 计划源自于美国国防部长期以来为保护国防工业基地的数据安全所做的努力。在该项计划启动之前，许多国防承包商依赖于自我声明（self-attestation）的方式，确认其网络安全措施是否符合 NIST SP 800-171 的要求。然而，随著网络威胁的不断增长，这种方式存在许多不足之处，导致 DoD无法全面掌握承包商是否真正落实所需的安全控制。为了提高透明度与安全性，国防部 2019 年正式宣布 CMMC计划，旨在通过第三方评估认证制度，加强对承包商网络安全状况的监管。

推动CMMC的目的是验证国防承包商，是否遵守针对联邦合约资讯（FCI）和受控未分类资讯（CUI）的现有保护措施，并在与网路安全威胁（包括APT威胁）风险相称的级别保护该资讯。

CMMC 2.0版将评估等级，从原先1.0版的五个减少到三个，简化中小企业取得认证的流程。该版也明定三个等级的认证内容，必须符合联邦采购条例第52.204-21部分（Federal Acquisition Regulation part 52.204-21）以及美国NIST SP 800-171第2版和SP 800-172对网路安全的要求，更明确指出CMMC第三级认证必须遵守的24项NIST SP 800-172的要求。

《联邦法规汇编》（Code of Federal Regulations）的第32篇（32 CFR）规范美国国防部政策、管理和行政职能，CMMC相关规范就属于32 CFR的一部分，针对处理联邦合约资讯和受控未分类资讯的国防承包商，提供明确的网路安全规范，确保国防工业基地（DIB）的资讯安全。

联邦合约资讯是指由美国政府提供，或由承包商在履行合约时所生成的未公开信息，不属于受控未分类资讯，但仍需基本保护，而处理FCI的国防承包商需达到CMMC第1级认证的要求。

至于受控未分类资讯，则是需要根据法律、政策或合约进行特别保护的敏感讯息，包括国防技术与数据、个人身分资料（PII）等，处理这类资讯的国防承包商，需达到CMMC第2级或CMMC第3级认证的要求。

CMMC 2.0版的三个认证等级和实施时间

CMMC源自美国总统欧巴马2010年11月4日签署行政命令13556，该命令要求建立统一的计划管理受控非分类资讯，希望针对政府内部管理未分类但需要保护的资讯，却面临不同保护标准的问题，提出解决之道。

美国国防部（DoD）2019年宣布开始发展CMMC，希望为美国国防工业基地建立更为严格的网路安全框架，因应日益复杂的网路威胁；而之所以提出CMMC，目标就是取代过往自我验证的安全模式，以强化网路安全要求。

在2020年9月29日，美国国防部在联邦公报（Federal Register）发布CMMC 1.0版的临时最终规则（final rule），确立CMMC 1.0的基本框架，不仅定义了逐步实施CMMC的初步计划，美国国防部也开始进行五年的分阶段实施计划。

CMMC 1.0版于2020年11月30日正式生效，意味著五年分阶段实施计划开始执行，美国国防部也要求国防产业承包商，必须取得CMMC相关认证以履行合约。

在2021年11月，美国国防部针对来自业界和大众意见，发布CMMC 2.0版修正草案，将CMMC认证层级从原先的五个层级减至三个，目的在于简化承包商的合规过程，并确保有效的网路安全措施得以实施。

直到今年10月15日，CMMC 2.0最终版（final rule）才公布在联邦公报（Federal Register），并于六十天后（今年12月16日）正式生效；另外，在三年内，也将分成四个阶段实施CMMC认证。

而国防工业基地（DIB）相关的企业也应采取相关行动，评估其对现有资安要求的遵守情况，以及是否准备好遵守CMMC评估。另外，国防工业基地的成员也能用云服务的产品，满足网路安全要求，这些都必须作为CMMC要求的一部分进行评估。

CMMC对国防供应链管理有直接的影响，根据这当中的要求，主要承包商必须确保其供应链中的所有分包商，同样符合相应等级的安全要求。这意味著，任何与FCI或CUI有关的资料数据，只要流通到供应链的任何一个环节，该环节的承包商都需达到相应的CMMC认证标准。

第一阶段：CMMC第1级认证─—自我评估

CMMC第1级认证要求就是要做到「基本网路安全防护」，自2024年12月16日开始实施，主要适用对象是：针对处理联邦合约资讯的承包商，必须符合《联邦采购条例》（FAR）52.204-21的15项安全控制措施，而这些主要是保护非敏感信息的基本措施。

至于评估方式，主要是相关的承包商要做自我评估（Self-Assessment），每年更新一次，将自评结果记录在供应商绩效风险系统（SPRS）。

第二阶段：CMMC第2级认证──自我评估及第三方评估机构（C3PAO）评估

CMMC第2级认证要求就是要做到「中等网路安全防护」，自2025年12月16日开始实施，主要适用对象是：针对处理受控未分类资讯的承包商，必须在FAR规定的基础上，做到符合NIST SP 800-171第2版中所规定的110项安全措施，这些安全措施对CUI的保护，要求比CMMC第1级认证更严格，适用于更敏感的信息，需要更高级别安全防护的承包商。

至于评估方式有两种，第一种是承包商可以选择自我评估（Self-Assessment），要求承包商定期进行完整的网路安全检查，确认其组织已经实施并符合NIST SP 800-171第2版的110项网路安全要求，这些要求涵盖了资料保护、存取控制、以及系统安全等范畴，适用于处理CUI的环境。

这个自我评估必须每三年进行一次完整的自我评估，并确认其符合所有要求，这些自我评估的结果都需要记录在供应商绩效风险系统（SPRS）中；在三年内都必须保持合规的同时，承包商还需每年进行一次自我确认（Annual Affirmation）来确认其安全状况没有改变。

如果承包商在评估过程中未能完全符合安全要求，承包商会暂时获得「有条件」的认证资格，但必须制定行动计划与里程碑（POA&M），在180天内完成所有剩余的安全要求，否则其资格将失效。

第二种评估方式就是，聘请第三方评估机构（C3PAO）针对处理受控非分类资讯（CUI）承包商进行评估，同样必须做到NIST SP 800-171第2版的110项网路安全要求，而第三方评估机构也会针对承包商的系统、政策和实施过程进行检测和验证。

第三方评估的结果也会记录在，国防部用来记录和管理承包商的网路安全状态的CMMC eMASS（Enterprise Mission Assurance Support Service）专用系统中，认证完成后，也必须要将结果提交到供应商绩效风险系统（SPRS），以确认美国国防部可以追踪承包商的网路安全评估结果以及合规状态。

第三方评估机构（C3PAO）也会将评估的结果提供给承包商，合格的承包商也会获得认证，认证有效期限为三年。倘若接受检测的承包商有任何安全要求尚未达标，承包商可以制定行动计划与里程碑（POA&M），来完成剩余的、尚未达标的安全要求，但这些计划必须在180天内完成并进行改善，否则其资格将失效。

至于，CMMC第2级认证中，自我评估及第三方评估机构（C3PAO）评估的差异，主要在于评估方式的严谨性。

第三阶段：CMMC第3级认证─由政府单位DIBCAC主导的评估

CMMC第3级认证就是要做到「高级网路安全防护」，自2026年12月16日开始实施，这一阶段需要更加严格的网路安全控制措施和第三方评估。

主要适用对象是：处理高度敏感受控非分类资讯（CUI），或涉及与国防相关的承包商，在CMMC第2级认证的基础上，做到符合NIST SP 800-171的110项安全措施外，还需额外增加NIST SP 800-172中的24项加强安全要求的措施。

主要是针对需要高度安全的系统，尤其是涉及国家安全的关键技术或数据，会由国防部国防合约管理局（DCMA）网路安全评估中心（DIBCAC）主导CMMC第3级认证的评估。

这是一个由政府主导的评估认证，评估的结果也会记录在，国防部用来记录和管理承包商的网路安全状态的CMMC eMASS（Enterprise Mission Assurance Support Service）专用系统，不仅每三年需更新一次评估结果，也需要将结果提交供应商绩效风险系统（SPRS）。

第四阶段：CMMC将全面纳入国防采购合约

自2027年12月16日起，所有国防部相关合约将全面纳入CMMC认证规范，所有涉及联邦合约资讯（FCI）或受控非分类资讯（CUI）的合约，都必须达到指定的CMMC认证层级，并且符合合约中所有的网路安全控制措施，才能够参与合约的竞标和履行。

CMMC的要求将从2024年12月16日起，逐步被纳入国防部的合约，逐步扩展到更多国防部的合约中，特别是涉及更高敏感度数据（CUI）的合约。到2027年达到全面覆盖。

分阶段实施CMMC认证，就是希望逐步加强对国防承包商的网路安全要求，提供足够的时间，让国防承包商可以达到所需的安全标准，并完成相关的安全控制措施。

推动CMMC带来的优势，包括：保护敏感资讯以支援和保护作战人员；实施国防工业基地（DIB）网路安全标准，以应对不断变化的网路威胁；确保问责制，同时最大限度地减少遵守美国国防部（DoD）要求的障碍；延续网路安全和网路弹性的协作文化；通过高专业和道德标准，维护公众信任，

另外，国防工业基地（DIB）的成员，也可以使用云服务产品满足网路安全要求，这些要求，必须作为CMMC认证要求的一部分进行评估。

美国国防部的后续国防联邦采购法规补充（Defense Federal Acquisition Regulation Supplement，DFARS）规则变更，将于2025年初至中期发布，并以合约方式实施CMMC计划；一旦DFARS规则生效，国防部便会在招标和合约纳入CMMC要求，作为签订合约的条件，相关需要处理、储存或传输联邦合约资讯或受控未分类资讯的承包商，都必须取得相对应的CMMC认证级别。