美國國防部
為了讓美國國防工業產業(DIB)的供應鏈業者,有足夠的時間準備、理解和實施CMMC規則(CMMC Rule)的各種要求,以及解決任何CMMC評估、啟動過程中遭遇到的各種問題,並提供培訓所需的評估人員時間,美國國防部為CMMC規則制定了三年、四階段的推動計畫。
登記在美國麻州( Massachusetts )的KLC諮詢顧問公司,也是經過Cyber AB授權,可以執行美國國防部CMMC第三方認證(C3PAO)的公司。KLC諮詢顧問公司執行長暨資安長Kyle Lai(賴弘偉)表示,CMMC規則包含兩大部分,分別是專注政府採購程序和合約要求的48 CFR Part 204,以及針對相關國防供應鏈承包商與分包商所有CMMC規範的32 CFR Part 170。其中,32 CFR Part 170的最終版(final 32 CFR part 170 CMMC Program rule)已經在今年10月15日正式公布,預計60天後生效實施(今年12月16日)
但另外針對美國國防採購相關的《48 CFR CMMC Acquisition Proposed Rule》,先是在今年8月15日公布48 CFR草案,Kyle Lai(賴弘偉):「美國國防部預計CMMC規則的實施日期,是在最終的《48 CFR part 204 CMMC Acquisition rule》發布後的60天內實施。」至此,CMMC對業者及對政府的規範才算完備。
推動CMMC四個階段的重點
美國國防部會分成四個階段推動CMMC規則(CMMC Rule),第一階段也就是初步實施階段(Initial Implementation),自《48 CFR規則》(48 CFR Rule)生效日期開始;在適用的情況下,招標將要求CMMC認證等級第一級(Level 1)或第二級(Level 2)認證的自我評估(Self - Assessment)。
企業需要針對基本的安全保護措施進行自我評估,並在相關系統中進行記錄。該階段為期一年。
第二階段在第一階段開始後的12個月啟動,在適用的情況下,美國國防部(DoD)會在相關的國防採購招標案中,要求相關的業者必須取得CMMC認證等級第二級的第三方認證(C3PAO)。
這表示,除了自我評估之外,部分企業需要聘請經過Cyber AB認證的第三方評估機構(C3PAO),對其進行正式的CMMC通過第三方評估的第二級認證(Level 2)有關的安全合規評估。不過,Kyle Lai進一步補充說明,相關的國防產業業者(主承包商和分包商),從今年12月16日之後,就可以請C3PAO進行CMMC第二級認證,該公司目前預約的排程,已經安排到明年(2025年)3月。
第三階段則是在第一階段開始後的24個月啟動,在適用的情況下,美國國防部的招標,將要求由美國國防部國防合約管理局(DCMA)網路安全評估中心(DIBCAC)主導的CMMC第三級認證。
這個階段將逐步引入CMMC第三等級認證(Level 3)的要求,並將其應用於部分國防部的招標和合同中,第三級認證的要求,可能作為合約選擇期內的條件,而並不是初始合約授予的必要條件。Kyle Lai解釋,這表示美國國防部可以針對一些重要的合約,在合約執行期間,加入對CMMC第三級認證的要求。
第四階段就是全面實施(Full Implementation)階段,在第一階段開始後的36個月啟動,所有招標和合約都將包含適用的CMMC認證等級要求,作為合約簽訂的條件。也就是說,在第四階段,CMMC要求將全面實施,適用於新合約和選擇期授予的合約。
Kyle Lai指出,到這個全面實施階段,美國國防部可根據需要,通過談判對CMMC實施前授予的合約進行修改,將CMMC的認證要求,添加到這些合約中。他說,這項規則不需要進行任何合約更改,來反映現有的合約管理流程;關於具體合約事務的問題,包括合約成本和資金,不在此規則的範疇內。
隨著 32 CFR第170部分「CMMC計畫規則」和48 CFR第204部分「CMMC採購規則」《48 CFR CMMC Acquisition Final Rule》的最終實施,潛在的國防部承包商和分包商,應積極準備好應對國防部的合約機會,當合約要求承包商或分包商處理、儲存或傳輸FCI(聯邦合約資訊)或CUI(受控未分類資訊)時,這些合約將包括相關業者應符合並取得CMMC各級認證的要求。
以模擬方式,理解推動CMMC四個階段的時間點
由於許多人很難理解CMMC規則的實施時間的計算,Kyle Lai就以一個模擬的方式,讓大家更清楚該如何計算CMMC各階段實施的時間。
首先,他表示,對美國國防供應鏈業者應該如何理解CMMC規則的內涵,主要是在於要清楚,國防工業產業(DIB)的業者對於CMMC規則的規範與要求,都要參考32 CFR Part 170的最終版的內容;但國防部對於是否納入CMMC作為標案和國防採購案的相關規範,則必須參考最終版的48 CFR part 204 CMMC Acquisition rule。
美國國防部會在48 CFR part 204 CMMC Acquisition rule最終版公布後60天正式生效實施,Kyle Lai假設該規則是2025年3月1日生效實施,這天就是國防部正式開始推動CMMC第一階段。
他說,在CMMC初步實施的第一階段,國防供應鏈業者可以開始執行CMMC第一級和第二級認證中的自評(Self-Assessment),美國國防部也開始會把對於CMMC要求自評的規定,放在國防採購合約中,不是強制性要求。
第二階段的推動時間點則是第一階段開始後的一年,就是2026年3月1日啟動。Kyle Lai表示,這時候國防業者可以開始執行CMMC由第三方評估(C3PAO)機構進行的第二級認證,國防部也開始會把需要C3PAO認證的要求,放在國防部的採購合約中,同樣非強制性要求。他補充表示,因為 32 CFR第170部分「CMMC計畫規則」已經在2024年12月16日開始實施,有一些第一級、重要的國防供應鏈業者,會在該日後,就開始執行開始由第三方評估公司(C3PAO)做CMMC第二級認證,不會等到國防部合約要求才進行CMMC第三方評估(C3PAO)機構的第二級認證。
第三階段就是第二階段開始後的一年,就是2027年3月1日啟動,這時候執行由美國國防部國防合約管理局(DCMA)網路安全評估中心(DIBCAC)主導的CMMC第三級認證,就可以開始放在採購合約中執行。
第四階段就是2028年3月1日開始啟動,也是第三階段開始後的一年,此時國防部會把對CMMC認證的要求,全數放入相關的採購合約中。也就是說,這時候美國國防部所有簽訂的採購合約,只要國防供應鏈業者有牽涉到處理、儲存和傳輸FCI(聯邦合約資訊)和CUI(受控未分類資訊)的業者,都會依照重要性與機密等級,納入適合的CMMC認證要求。
Kyle Lai指出,這些國防供應鏈業者究竟應該要取得CMMC哪一個等級的認證,主要都是看國防採購合約上的規定,這不會是任憑業者的自由意志決定,而是國防部會在相關的國防採購合約中,明定業者應該取得的CMMC認證等級。
在32 CFR第170部分CMMC計畫規則(32 CFR Part 170 CMMC Program Rule)公布在《聯邦公報》時,美國國防部也指出,將有8,350家中型和大型實體機構或單位,需要符合CMMC第二級第三方評估(C3PAO)的認證要求,這是簽訂合約的必要條件。
CMMC第二級的要求將適用於所有處理、儲存或傳輸受控未分類信息(CUI)的承包商,並為國防部提供一種手段,來評估是否已滿足《32 CFR》第2002部分中規定的對CUI(受控未分類資訊)的保護要求。
美國國防部估計,在第一年將完成135次由第三方評估機構(C3PAO)主導的認證評估,第二年將完成673次,第三年將完成2252次,第四年將完成4452次。
【更正啟事】KLC諮詢顧問公司登記註冊仍在美國麻州( Massachusetts )。另外,《32 CFR》在2024年12月16日已經可以開始進行由第三方評估機構(C3PAO)CMMC第二級認證,為了讓內文說明更清楚,已經在10月28日針對字句修正完畢。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03