CMMC(網路安全成熟度模型認證)是美國國防部政府(DoD) 開發的框架,旨在提高國防基礎企業和組織的國防採購相關資訊的安全性。該框架定義了不同級別的安全措施,企業和組織必須實施這些措施才能被視為合規。CMMC 合規性現在是所有 DoD 合約承包商(包括中小型企業和組織)的要求。
CMMC 是一個標準評估框架,用於定義保護敏感資訊所需的最低安全控制措施。網路安全成熟度模型認證框架,由負責採購和維持的國防部副部長辦公室(OUSD(A&S))開發。最新版本(CMMC 2.0)於2021年推出,用新的三級系統取代了之前的五級系統(在CMMC 1.02中)。CMMC 2.0 的三個級別是1級(基礎)、2級(進階)和3級(專家),所需的認證級別取決於對應的CMMC 評鑑要求。
第一級要求組織實施基本的網路安全實務做法,這些實踐和方法可以臨時執行,而無需依賴明文記載的成文規定或程序。認證允許進行自我評鑑(每年一次),不需要C3PAO(CMMC Third Party Assessment Organization)對流程成熟度進行評鑑。第一級包括有關 聯邦採購條例(Federal Acquisition Regulation) FAR 52.204-21的 17 項保護措施,目標為保護聯邦合約資訊 (FCI)。
第二級要求組織記錄其流程並按照所述流程實施。處理關鍵受控資訊(CUI)的組織必須每三年通過一次更高級別的第三方評估 (C3PAO),而處理非關鍵資訊的組織必須每年進行一次自我評估。第二級內容包依據 NIST SP 800-171 的 110 項實作項目,評鑑標準則是NIST SP 800-171a。目標為受控非機密資訊(CUI) 的基本保護。
第三級要求組織建立、維護和分配計劃來管理其網路安全策略。 包括 NIST SP 800-171 的 110 個 CUI 控制項,加上 NIST SP 800-172 (評鑑標準為 NIST SP 800-172a)的35 個控制項。組織必須通過每三年一次由政府主導的評鑑程序才能保有合規性。目標:增強對受控非機密資訊(CUI)的保護。
哪些組織被要求合規?
需要符合 CMMC 標準的公司是國防承包商和次包商,它們為國防部(DoD) 計劃處理聯邦合約資訊 (FCI) 或受控非機密資訊 (CUI)。所需的CMMC合規級別取決於公司所處理資訊的類型和敏感等級。 國防部供應鏈中的任何個人都需要,包括專門與國防部和任何分包商交互的承包商,例如
- 處理與國家安全相關的聯邦合約資訊 (FCI) 或受控非機密資訊 (CUI) 的國防承包商和次包商。
- 向國防部 (DoD) 提供服務或產品的公司,例如軟體開發、工程、製造、物流和研發。
- 支援 DoD 營運的 IT 服務提供者、雲端計算服務供應商(CCP)和託管服務供應商。
- 參與國防工業基地 (DIB) 並處理敏感政府資訊(如航空航太和國防、資訊技術、工程和研發)的公司。
因此,任何與 DoD 合約相關的小型企業都應該注意一些事項。直接的合約供應商當然是被直接要求認證合規,但是對於間接供應商,雖然不至於被要求通過認證,但可能被要求符合一定程度的規範,像是ISO 27000 系列的標準。然而隨著而來的,對小企業產生影響可能會在遵守法規的融資投入帶來挑戰。
合規成本
對於採用 CMMC 的小型企業來說,面臨的一個更重要的挑戰是與合規性所產生的相關成本。取得和保持認證有效性可能會帶來額外經濟負擔,尤其是對於那些資源有限的組織。這些費用可能包括投資網路安全軟硬體基礎設施、進行稽核與檢討、人員安全意識教育訓練,以及聘請專業人員或外部顧問。
資源排擠
小型企業通常已經處在資源有限的情況下營運,因此很難分配專屬資源來管理網路安全。推動實施 CMMC 所需的控制和流程,可能會進一步加深排擠原本已經有限的資源。
技術上的提升
CMMC 引入了更嚴格的網路安全要求執行,一些小型企業可能會發現難以滿足這些要求。升級系統、軟體和硬體可能既昂貴又耗時,對實現合規性構成重大障礙。
教育訓練
隨著各類法規對網路安全培訓和教育重要性的強調,小型企業可能缺乏有效教育員工所需的內部專業知識或培訓計劃。滿足培訓要求也可能需要依賴對外部培訓或顧問。
結論
制定一個全面的計劃概述CMMC合規性所需的步驟。制定切合實際的預算,考慮與技術升級、培訓和稽核相關的成本。尋求網路安全專家或顧問的説明,以獲得見解並改進您的方法。
確定安全措施的優先順序,將大部分注意力集中在 CMMC 框架中的核心控制上,優先解決關鍵漏洞;評估現有的網路安全措施,並確定需要立即關注領域的優先順序,利用軟體工具協助實施控制項。總之,CMMC合規認證並不容易獲得。但是,透過有效投資可靠安全軟體解決方案,可以遵守嚴格而複雜的 CMMC 要求,從而簡化並保持合規的有效維持。