美國防部10月15日公布CMMC 規則，認證等級從原先五級簡化為三級

經過長期的研擬，美國國防部於今年8月15日公布專注政府採購程序和合約要求的48 CFR草案（48 CFR CMMC Acquisition Proposed Rule）；到10月15日這天，則將32 CFR最終版（Final Rule）公布在聯邦公報（Federal Register）上，並於六十天後（12月16日）正式生效實施。

32 CFR第170部分CMMC計畫規則 （32 CFR Part 170 CMMC Program Rule）包含 CMMC 計畫的實施框架，特別是有關承包商和分包商如何處理受控未分類資訊（CUI）的規定，也就是CMMC規則針對相關承包商與分包商的所有規範，其中，也將原先 CMMC 1.0版的五個等級認證，簡化成為現在CMMC 規則（CMMC Rule）的三個等級。

美國國防部（DoD）將國防工業產業（Defense Industrial Base，DIB）的業者，區分為一線供應商（承包商）和二線以下的供應商（分包商），這些國防供應鏈的業者若面臨需要處理、傳輸和儲存與聯邦合約資訊（Federal Contract Information，FCI）以及受控未分類資訊（Controlled unclassified information，CUI）時，都需要依據保護相關資料所面臨的網路安全風險，取得「網路安全成熟度模型認證（Cybersecurity Maturity Model Certification）」，簡稱CMMC認證。

目前推動美國國防供應鏈業者取得的CMMC 規則（CMMC Rule）的認證，其主要目的就是，要評估美國國防部相關承包商與供應鏈業者的網路安全防護能力，而CMMC規則的修訂，不只是希望確保承包商能夠遵循最佳實務做法，以保護網路上的敏感資訊，同時也使中小型業者（SMB）更容易遵守這些規範。

規範國防供應鏈業者保護FCI和CUI的網路安全措施

CMMC 計畫源自於美國國防部長期以來，為保護國防工業產業（DIB）的資訊安全所做的努力。在該項計畫啟動之前，許多國防供應鏈業者都依賴自我聲明（Self Attestation）的方式，確認其網路安全措施是否符合 NIST SP 800-171的規範要求。

然而，隨著網路威脅的不斷增長，這種方式已經存在許多不足之處，導致美國國防部（DoD）無法全面掌握供應鏈業者，是否真正落實所需的安全控制。為了提高透明度與安全性，美國國防部於2019 年正式宣布 CMMC1.0計畫，就是希望可以通過第三方評估認證制度，加強對承包商網路安全狀況的監管。

推動CMMC的目的是驗證國防承包商，是否遵守針對聯邦合約資訊（FCI）和受控未分類資訊（CUI）的現有保護措施，並在與網路安全威脅（包括APT威脅）風險相稱的級別保護該資訊。

CMMC規則將評估等級，從原先CMMC 1.0版的五個認證等級減少到三個，簡化中小企業取得認證的流程；該版也明定三個等級的認證內容，必須符合聯邦採購條例第52.204-21條款（Federal Acquisition Regulation part 52.204-21）以及美國NIST SP 800-171第2版110個網路安全的控制措施外，也明確指出CMMC第三級認證，還必須額外遵守NIST SP 800-172的24項安全控制措施。

《聯邦法規彙編》（Code of Federal Regulations）的第32篇（32 CFR）規範美國國防部政策、管理和行政職能，其中，CMMC相關規範就屬於32 CFR的一部分，針對處理聯邦合約資訊和受控未分類資訊的國防承包商，提供明確的網路安全規範，確保國防工業產業（DIB）的資訊安全。

聯邦合約資訊（FCI）是指由美國政府提供，或由承包商在履行合約時所生成的未公開信息，不屬於受控未分類資訊（CUI），但仍需基本保護，而處理FCI的國防承包商需達到CMMC第一級認證的要求。

至於受控未分類資訊（CUI），則是需要根據法律、政策或採購合約進行特別保護的敏感訊息，包括國防相關的技術與數據、個人身分資料（PII）等，處理這類資訊的國防承包商，需達到CMMC第二級或CMMC第三級認證的要求。

CMMC規則的三個認證等級

CMMC源自美國總統歐巴馬2010年11月4日簽署行政命令13556，該命令要求建立統一的計畫管理受控非分類資訊（CUI），希望針對政府內部管理未分類但需要保護的資訊，卻面臨不同保護標準的問題，提出解決之道。

美國國防部（DoD）2019年宣布開始發展CMMC，希望為美國國防工業產業（DIB）建立更為嚴格的網路安全框架，因應日益複雜的網路威脅；而之所以提出CMMC，目標就是取代過往自我驗證的安全模式，以強化網路安全要求。

在2020年9月29日，美國國防部在聯邦公報（Federal Register）發布CMMC 1.0版的臨時最終規則（Final Rule），確立CMMC 1.0的基本框架，不僅定義了逐步實施CMMC的初步計畫，美國國防部也開始進行五年的分階段實施計畫。

CMMC 1.0版於2020年11月30日正式生效，意味著開始執行五年分階段實施計畫，美國國防部也要求國防產業承包商，必須取得CMMC相關認證以履行合約。

在2021年11月，美國國防部針對來自業界和大眾意見，發布CMMC 2.0版修正草案，將CMMC認證層級從原先的五個層級減至三個，目的在於簡化承包商的合規過程，並確保有效的網路安全措施得以實施。

今年8月15日公布48 CFR草案，到10月15日則在聯邦公報（Federal Register）公布32 CFR，並於六十天後（今年12月16日）正式生效實施。目前在美國業界，多傾向以CMMC規則（Final Rule）取代以往的CMMC 2.0版 說法。

而國防工業產業（DIB）相關的企業或組織也應採取相關行動，評估其對現有資安要求的遵守情況，以及是否準備好遵守CMMC認證所需的安全措施。另外，國防工業產業（DIB）的成員，也能採雲端服務的產品，滿足網路安全要求。

CMMC對國防供應鏈管理有直接的影響，根據這當中的要求，主要合約承包商必須確保其供應鏈中的所有分包商，同樣符合相應等級的安全要求。這意味著，任何與聯邦合約資訊（FCI）或受控非分類資訊（CUI）有關的資料數據，只要流通到供應鏈的任何一個環節，該環節的承包商都需達到相應的CMMC認證標準。

CMMC第一級認證──自我評估

CMMC第一級認證（CMMC Level１）要求就是要做到「基本網路安全防護」，主要適用對象是：針對處理聯邦合約資訊（FCI）的承包商，必須符合《聯邦採購條例》（FAR）第52.204-21條款的15項安全控制措施，而這些主要是保護非敏感信息的基本措施。第

至於評估方式，主要是相關的承包商要做自我評估（Self-Assessment），每年更新一次，將自評結果記錄在供應商績效風險系統（SPRS）。

CMMC第二級認證──自我評估

CMMC第二級認證（CMMC Level２）要求就是要做到「中等網路安全防護」，主要適用對象是：針對處理受控未分類資訊（CUI）的承包商，必須在聯邦採購條例（FAR）規定的基礎上，做到符合NIST SP 800-171第2版中所規定的110項安全措施，這些安全措施對受控非分類資訊（CUI）的保護，要求比CMMC第一級認證更嚴格，適用於更敏感的信息，需要更高級別安全防護的承包商。

至於評估方式有兩種，第一種是承包商可以選擇自我評估（Self-Assessment），要求承包商定期進行完整的網路安全檢查，確認其組織已經實施並符合NIST SP 800-171第2版的110項網路安全控制措施，這些要求涵蓋了資料保護、存取控制、以及系統安全等範疇，適用於處理受控非分類資訊（CUI）的環境。

這個自我評估必須每三年進行一次完整的自我評估，並確認其符合所有要求，這些自我評估的結果都需要記錄在供應商績效風險系統（SPRS）中；在三年內都必須保持合規的同時，承包商還需每年進行一次自我確認（Annual Affirmation）來確認其安全狀況沒有改變。

如果承包商在評估過程中未能完全符合安全要求，承包商會暫時獲得「有條件」的認證資格，但必須制定行動計畫與里程碑（POA&M），在180天內完成所有剩餘的安全要求，否則其資格將失效。

CMMC第二級認證──第三方評估機構（C3PAO）評估

第二種評估方式就是，聘請第三方評估機構（C3PAO）針對處理受控非分類資訊（CUI）承包商進行評估，同樣必須做到NIST SP 800-171第2版的110項網路安全要求，而第三方評估機構也會針對承包商的系統、政策和實施過程進行檢測和驗證。

第三方評估的結果也會記錄在，國防部用來記錄和管理承包商的網路安全狀態的CMMC eMASS（Enterprise Mission Assurance Support Service）專用系統中，認證完成後，也必須要將結果提交到供應商績效風險系統（SPRS），以確認美國國防部可以追蹤承包商的網路安全評估結果以及合規狀態。

第三方評估機構（C3PAO）也會將評估的結果提供給承包商，合格的承包商也會獲得認證，認證有效期限為三年。倘若接受檢測的承包商有任何安全要求尚未達標，承包商可以制定行動計畫與里程碑（POA&M），來完成剩餘的、尚未達標的安全要求，但這些計畫必須在180天內完成並進行改善，否則其資格將失效。

至於，CMMC第2級認證中，自我評估及第三方評估機構（C3PAO）評估的差異，主要在於評估方式的嚴謹性。

CMMC第三級認證─由政府單位DIBCAC主導的評估

CMMC第三級認證（CMMC Level３）就是要做到「高級網路安全防護」，這一階段需要更加嚴格的網路安全控制措施和第三方評估。

主要適用對象是：處理高度敏感受控非分類資訊（CUI），或涉及與國防相關的承包商，在CMMC第二級認證的基礎上，做到符合NIST SP 800-171的110項安全措施外，還需額外增加NIST SP 800-172中的24項加強安全要求的控制措施。

主要是針對需要高度安全的系統，尤其是涉及國家安全的關鍵技術或數據，會由國防部國防合約管理局（DCMA）網路安全評估中心（DIBCAC）主導CMMC第三級認證的評估。

這是一個由政府主導的評估認證，認證效期三年，而每次進行第三等級認證評估時，申請業者必須先具備相同 CMMC 評估範圍內的第二認證等級的第三方評估（C3PAO）資格作為前提條件；評估的結果，也會放到國防部用來記錄和管理承包商的網路安全狀態的CMMC eMASS（Enterprise Mission Assurance Support Service）專用系統，不僅每三年需更新一次評估結果，也需要將結果提交供應商績效風險系統（SPRS）。

若受檢測承包商有安全要求未達標，承包商可以制定行動計畫與里程碑（POA&M），在180天內完成並進行改善，否則其資格將失效。

CMMC未來將全面納入國防採購合約

未來，美國國防部會陸續將相關採購合約入CMMC認證規範，屆時，所有涉及聯邦合約資訊（FCI）或受控非分類資訊（CUI）的合約，都必須達到採購合約中所要求的CMMC認證層級，並且完成合約中所有的網路安全控制措施，才能夠參與合約的競標和履行。

未來，美國國防部（DoD）也會分階段實施CMMC規則，希望逐步加強對國防承包商的網路安全要求，提供足夠的時間，讓國防承包商可以達到所需的安全標準，並完成相關的安全控制措施。

推動CMMC帶來的優勢，包括：保護敏感資訊以支援和保護作戰人員；實施國防工業產業（DIB）網路安全標準，以應對不斷變化的網路威脅；確保問責制，同時最大限度地減少遵守美國國防部（DoD）要求的障礙；延續網路安全和網路彈性的協作文化；通過高專業和道德標準，維護公眾信任，

國防工業產業（DIB）的成員，也可以使用雲服務產品滿足網路安全要求，這些要求，必須作為CMMC認證要求的一部分進行評估。

另外，美國國防部的後續國防聯邦採購法規補充（Defense Federal Acquisition Regulation Supplement，DFARS）規則變更，將於2025年初至中期發布，也並以合約方式，要求承包商達到CMMC規則中的認證等級；一旦DFARS規則生效，國防部便會在招標和合約納入CMMC認證要求，作為簽訂合約的條件，相關需要處理、儲存或傳輸聯邦合約資訊或受控未分類資訊的承包商，都必須取得相對應的CMMC認證級別。

【更正啟事】此篇文章於2024年10月17日首度發布，因對於「階段」的用字描述不清楚，於2024年10月18日修正內文。目前文章已修正完畢。另外，根據美國聯邦公報 《Federal Register》對於實施日期的說明，60天後的生效實施日期應該為2024年12月16日。