美国防部将以三年、四阶段推动CMMC规则

为了让美国国防工业产业（DIB）的供应链业者，有足够的时间准备、理解和实施CMMC规则（CMMC Rule）的各种要求，以及解决任何CMMC评估、启动过程中遭遇到的各种问题，并提供培训所需的评估人员时间，美国国防部为CMMC规则制定了三年、四阶段的推动计划。

美国德州KLC咨询顾问公司也是被Cyber AB授权，授权可以执行美国国防部CMMC第三方认证（C3PAO）的公司。KLC咨询顾问公司执行长暨资安长Kyle Lai（赖弘伟）表示，CMMC规则包含两大部分，分别是专注政府采购程序和合约要求的48 CFR Part 204，以及针对相关国防供应链承包商与分包商所有CMMC规范的32 CFR Part 170。其中，32 CFR Part 170的最终版（final 32 CFR part 170 CMMC Program rule）已经在今年10月15日正式公布，预计60天后生效实施（今年12月16日）

但另外针对美国国防采购相关的《48 CFR CMMC Acquisition Proposed Rule》，先是在今年8月15日公布48 CFR草案，Kyle Lai（赖弘伟）：「美国国防部预计CMMC规则的实施日期，是在最终的《48 CFR part 204 CMMC Acquisition rule》发布后的60天内实施。」至此，CMMC对业者及对政府的规范才算完备。

推动CMMC四个阶段的重点

美国国防部会分成四个阶段推动CMMC规则（CMMC Rule），第一阶段也就是初步实施阶段（Initial Implementation），自《48 CFR规则》（48 CFR Rule）生效日期开始；在适用的情况下，招标将要求CMMC认证等级第一级（Level 1）或第二级（Level 2）认证的自我评估（Self – Assessment）。

企业需要针对基本的安全保护措施进行自我评估，并在相关系统中进行记录。该阶段为期一年。

第二阶段在第一阶段开始后的12个月启动，在适用的情况下，美国美国国防部国防部的招标，将要求CMMC认证等级第二级的第三方认证（C3PAO）。

这表示，除了自我评估之外，部分企业需要聘请经过认证的第三方评估机构（C3PAO），对其进行正式的安全合规评估。

第三阶段则是在第一阶段开始后的24个月启动，在适用的情况下，美国国防部的招标，将要求CMMC第三级由国防部国防合约管理局（DCMA）网路安全评估中心（DIBCAC）主导的CMMC第三级认证。

这个阶段将逐步引入CMMC第三等级认证（Level 3）的要求，并将其应用于部分国防部的招标和合同中，第三级认证的要求，可能作为合约选择期内的条件，而并不是初始合约授予的必要条件。

第四阶段就是全面实施（Full Implementation）阶段，在第一阶段开始后的36个月启动，所有招标和合约都将包含适用的CMMC认证等级要求，作为合约签订的条件。也就是说，在第四阶段，CMMC要求将全面实施，适用于新合约和选择期授予的合约。

美国国防部可根据需要，通过谈判对CMMC实施前授予的合约进行修改，将CMMC的认证要求，添加到这些合约中。这项规则不需要进行任何更改，来反映现有的合约管理流程；关于具体合约事务的问题，包括合约成本和资金，不在此规则的范畴内。

随著 32 CFR第170部分「CMMC计划规则」和48 CFR第204部分「CMMC采购规则」《48 CFR CMMC Acquisition Final Rule》的最终实施，潜在的国防部承包商和分包商，应积极准备好应对国防部的合约机会，当合约要求承包商或分包商处理、存储或传输FCI（联邦合约资讯）或CUI（受控未分类资讯）时，这些合约将包括CMMC各级认证的要求。

以模拟方式，理解推动CMMC四个阶段的时间点

由于许多人很难理解CMMC规则的实施时间的计算，Kyle Lai就以一个模拟的方式，让大家更清楚该如何计算CMMC各阶段实施的时间。

首先，他表示，对国防供应链业者应该如何理解CMMC规则的内涵，主要是在于要清楚，国防工业产业（DIB）的业者对于CMMC规则的规范与要求，都要参考32 CFR Part 170的最终版的内容；但国防部对于是否纳入CMMC作为标案和国防采购案的相关规范，则必须参考最终版的48 CFR part 204 CMMC Acquisition rule。

美国国防部会在48 CFR part 204 CMMC Acquisition rule最终版公布后60天正式生效实施，Kyle Lai假设该规则是2025年3月1日生效实施，这天就是国防部正式开始推动CMMC第一阶段。

在第一阶段，国防供应链业者可以开始执行CMMC第一级和第二级认证中的自评（Self-Assessment），美国国防部也开始会把对于CMMC要求自评的规定，放在国防采购合约中。

第二阶段的推动时间点则是第一阶段开始后的一年，就是2026年3月1日启动，这时候国防业者可以开始执行CMMC由第三方评估（C3PAO）进行的第二级认证，国防部也开始会把需要C2PAO认证的要求，放在国防部的采购合约中。

第三阶段就是第二阶段开始后的一年，就是2027年3月1日启动，这时候执行由美国国防部国防合约管理局（DCMA）网路安全评估中心（DIBCAC）主导的CMMC第三级认证，就可以开始放在采购合约中执行。

第四阶段就是2028年3月1日开始启动，也是第三阶段开始后的一年，此时国防部会把对CMMC认证的要求，全数放入相关的采购合约中。

Kyle Lai指出，这些国防业者究竟应该要取得CMMC哪一个等级的认证，主要都是看国防采购合约上的规定，这不会是任凭业者的自由意志决定，而是看当时的合约中，签约的业者是否会传输、处理或储存相关FCI（联邦合约资讯）或CUI（受控非分类资讯）的机密性或重要性，在国防采购合约中明定业者应该取得的CMMC认证等级。

在32 CFR第170部分CMMC计划规则（32 CFR Part 170 CMMC Program Rule）公布在《联邦公报》时，美国国防部也指出，将有8,350家中型和大型实体机构或单位，需要符合CMMC第二级第三方评估（C3PAO）的认证要求，这是签订合约的必要条件。

CMMC第二级的要求将适用于所有处理、存储或传输受控未分类信息（CUI）的承包商，并为国防部提供一种手段，来评估是否已满足《32 CFR》第2002部分中规定的对CUI（受控未分类资讯）的保护要求。

美国国防部估计，在第一年将完成135次由第三方评估机构（C3PAO）主导的认证评估，第二年将完成673次，第三年将完成2252次，第四年将完成4452次。