CMMC 2.0 之前世今生

美国国防部在 2020 年1月底公布新规范 「网路安全成熟度模型认证Cybersecurity Maturity Model Certification」(简称 CMMC)，要求所有与国防部合约或次合约商共同遵守。国防部原规划於 2021 年後，开始在部分建议徵求书 (RFP) 和资讯徵求书 (RFI) 中纳入 CMMC，并计画在 2026 年之前让CMMC 成为所有美国国防部采购案的强制性要求。

在经历了2021年的试行及选择数个现有合约进行验证，并蒐集各方的意见後，发现原有规划之CMMC制度需要进行修正，主要原因在於CMMC1.0虽然参考NIST SP-800-171相关管控作法订定，但是其要求及验证规则过於严苛。特别对於中小型企业来说，导入如此复杂的管控措施，需要更多的成本，且原先标准未区隔范围及允许风险持续改善规划，造成制度推行及验证上的困难，因此订定CMMC2.0版修正相关作法，以达成确保美国国防资讯安全之目标。

2021年11月美国国防部正式宣布修正CMMC1.0为2.0版，并决定暂时中止原先的试行计画，直接进入立法程序。立法工作预计耗时9-24个月的时间完成，未来将直接实施CMMC2.0制度，美国国防合约商及其合约履行相关的厂商必须遵循规范要求。其主要制定精神为保护采购部门与其合约商和次合约商共享的敏感非机密资讯，将一系列网路安全要求纳入采购计划，并为美国国防部提供更多保证。

CMMC 2.0 模型精简为3个等级，相较於原有5的等级，CMMC 2.0移除 CMMC 1.0 中第 2 级和第 4 级，这两个级别本来就是作为过渡级别而开发，美国国防部从一开始就没有规划评估要求，CMMC 2.0根据资讯类型，建立三个逐渐成熟的级别：
– 第1级（基础级）：仅适用於拥有 FCI 的合约商；资讯需要保护，但对国家安全并不具关键性；
– 第2级（进阶级）：适用於具有 CUI 的合约商；
– 第3级（专家级）：用於具有 CUI 的最高优先级别专案。

CMMC 2.0要求将对应至 NIST SP 800-171 和 NIST SP 800-172，移除所有 CMMC 1.0 特有的实务做法和成熟度过程。持续与 NIST 共同合作来解决 NIST SP 800-171 中执行上的差距，将成熟度第2级要求与NIST SP 800-171 保持一致，成熟度第3级将使用NIST SP 800-172 要求中特定项目的管控措施。

另外，本次修正特别为因应在试行期间所发现不符合事项的矫正作法(POA&M)，故CMMC 2.0 将允许有限度使用 POA&M严格时限(可能为180天)，合约官员可以使用正常的合约补救措施来解决合约商在规定的时间表後未能满足其网路安全要求的问题；在具最高权重的要求上，则不允许使用POA&M；亦将建立“最低分数”评估要求，以支持有 POA&M 存在的证书的有效性。

有关评估及导入步骤请参考
https://ingsafe.tw/cmmc