
國防部推出網路安全新規範 CMMC,請廠商務必遵守
美國國防部在 2020 年一月底公布新規範 「網路安全成熟度證書Cybersecurity Maturity Model Certification」(簡稱 CMMC),要求所有與國防部承約或次承約的廠商遵守。國防部預計在 2020 年六月後,開始在些許建議徵求書 (RFP) 和資訊徵求書 (RFI) 中納入 CMMC,並計畫在 2026 年之前讓CMMC 成為所有國防部採購案的必要需求。 緣起 美國整體每年平均因網路安全所造成的損失達六千億美金。目前國防部的供應鏈,從極音速武器到皮革工廠,大約有三十萬家承約商,而其中約有二十九萬家基本上沒有任何的網路安全措施。美國政府近幾年決定大加整頓國防供應鏈,而網路安全被視為首要議題。在此之前,國防部請廠商遵循 DFARS 252.204-7012 以及 NIST 800-171 裡所敘明的規範,其中包括廠商須自行認證一百一十項資訊安全項目。然而問題其一在於這是由廠商自我認證,其二是國防部並未特別看重此標準。 CMMC 的新標準 CMMC 將以過去的 NIST 800-171 作為基準,但加入更多規則以及審