國防部推出網路安全新規範 CMMC，請廠商務必遵守

美國國防部在 2020 年一月底公布新規範「網路安全成熟度證書Cybersecurity Maturity Model Certification」(簡稱 CMMC)，要求所有與國防部承約或次承約的廠商遵守。國防部預計在 2020 年六月後，開始在些許建議徵求書 (RFP) 和資訊徵求書 (RFI) 中納入 CMMC，並計畫在 2026 年之前讓CMMC 成為所有國防部採購案的必要需求。

緣起

美國整體每年平均因網路安全所造成的損失達六千億美金。目前國防部的供應鏈，從極音速武器到皮革工廠，大約有三十萬家承約商，而其中約有二十九萬家基本上沒有任何的網路安全措施。美國政府近幾年決定大加整頓國防供應鏈，而網路安全被視為首要議題。在此之前，國防部請廠商遵循 DFARS 252.204-7012 以及 NIST 800-171 裡所敘明的規範，其中包括廠商須自行認證一百一十項資訊安全項目。然而問題其一在於這是由廠商自我認證，其二是國防部並未特別看重此標準。

CMMC 的新標準

CMMC 將以過去的 NIST 800-171 作為基準，但加入更多規則以及審查方式。最大的不同便是今後廠商須經由國防部所授權的網路第三方評估單位 (cyber third-party assessors; C3PAOs) 認證。國防部將會依合約特性，要求符合的 CMMC 等級。最重要的是， CMMC的認證也會成為國防部用來判定廠商 go 或是 no go 的硬性二元標準，不同於以往只用來當參考。

CMMC 將「maturity model 成熟度模型」分為五級，而每一級皆由程序 (process) 及操作 (practice) 兩部分組成。廠商要獲得某一層級的認證，則必須符合該層級和以下所有層級的程序及操作的標準。

【Level 1 – 能保護好聯邦政府的合約資訊 (FCI)】

程序要求: 可接受廠商並無標準程序，只要能如實完成以下操作要求

操作要求: 須符合 17 項規範，均與合約資訊有關。

【Level 2 – 能過渡到有能力保護受管制的非機密資訊 (controlled unclassified information; CUI)】

程序要求: 需有程序完成標準化紀錄，並制定相關規章。

操作要求: 除前級需求外，另加 55 項規範 (總共 72)

【Level 3 – 證明有能力保護 CUI】

程序要求: 除前級需求外，另需有詳細計畫

操作要求: 除前級需求外，另加 58 項規範 (總共 130)

【Level 4 – 證明有能力保護 CUI，並能降低進階持續性威脅 (advanced persistent threat; APT) 的風險】

程序要求: 除前級需求外，公司需有能力評估網路安全防護的有效度，並能做出修復性措施。

操作要求: 除前級需求外，另加 26項規範 (總共 156)

【Level 5 – 證明有能力保護 CUI，並能降低進階持續性威脅 (advanced persistent threat; APT) 的風險】

程序要求: 除前級需求外，公司需有能力將這些措施標準化並優化。

操作要求: 除前級需求外，另加 15 項規範 (總共 171)

全數共 171 項操作需求，可歸類分為 17 個領域 (domain)，以利廠商整理。這 17 個領域分別為: Access control, asset management, audit and accountability, awareness and training, configuration management, identification and authentication, incident response, maintenance, media protection, personnel security, physical protection, recovery, risk management, security assessment, situational awareness, system and communication protection, system and information security。

至於這 171 項的定義為何，可向 FEI 詢問。

Check back soon

Once posts are published, you’ll see them here.

國防部推出網路安全新規範 CMMC，請廠商務必遵守

了解美國國防產業「為出口設計」思維 (Designing for Exportability)

淺談5G基本概念

美國商務部宣布管制人工智慧軟體出口

Business Opportunities for U.S. Defense Firms Abound in Taiwan

Now You Can Blog from Everywhere!

Design a Stunning Blog

Grow Your Blog Community

投資美國國防科技產業須知的英文字母 - CFIUS, FIRRMA, ECRA

台灣企業進入美國國防產業鍊的機會與挑戰

No tags yet.

Formosan Enterprise Institute

國防部推出網路安全新規範 CMMC，請廠商務必遵守

緣起

CMMC 的新標準

CMMC 將「maturity model 成熟度模型」分為五級，而每一級皆由程序 (process) 及操作 (practice) 兩部分組成。廠商要獲得某一層級的認證，則必須符合該層級和以下所有層級的程序及操作的標準。

【Level 1 – 能保護好聯邦政府的合約資訊 (FCI)】

程序要求: 可接受廠商並無標準程序，只要能如實完成以下操作要求

操作要求: 須符合 17 項規範，均與合約資訊有關。

【Level 2 – 能過渡到有能力保護受管制的非機密資訊 (controlled unclassified information; CUI)】

程序要求: 需有程序完成標準化紀錄，並制定相關規章。

操作要求: 除前級需求外，另加 55 項規範 (總共 72)

【Level 3 – 證明有能力保護 CUI】

程序要求: 除前級需求外，另需有詳細計畫

操作要求: 除前級需求外，另加 58 項規範 (總共 130)

【Level 4 – 證明有能力保護 CUI，並能降低進階持續性威脅 (advanced persistent threat; APT) 的風險】

程序要求: 除前級需求外，公司需有能力評估網路安全防護的有效度，並能做出修復性措施。

操作要求: 除前級需求外，另加 26項規範 (總共 156)

【Level 5 – 證明有能力保護 CUI，並能降低進階持續性威脅 (advanced persistent threat; APT) 的風險】

程序要求: 除前級需求外，公司需有能力將這些措施標準化並優化。

操作要求: 除前級需求外，另加 15 項規範 (總共 171)

至於這 171 項的定義為何，可向 FEI 詢問。

Featured Posts

Recent Posts

Archive

Search By Tags

Follow Us

國防部推出網路安全新規範 CMMC，請廠商務必遵守

緣起

CMMC 的新標準

CMMC 將 「maturity model 成熟度模型」分為五級，而每一級皆由程序 (process) 及操作 (practice) 兩部分組成。廠商要獲得某一層級的認證，則必須符合該層級和以下所有層級的程序及操作的標準。

【Level 1 – 能保護好聯邦政府的合約資訊 (FCI)】

程序要求: 可接受廠商並無標準程序，只要能如實完成以下操作要求

操作要求: 須符合 17 項規範，均與合約資訊有關。

【Level 2 – 能過渡到有能力保護受管制的非機密資訊 (controlled unclassified information; CUI)】

程序要求: 需有程序完成標準化紀錄，並制定相關規章。

操作要求: 除前級需求外，另加 55 項規範 (總共 72)

【Level 3 – 證明有能力保護 CUI】

程序要求: 除前級需求外，另需有詳細計畫

操作要求: 除前級需求外，另加 58 項規範 (總共 130)

【Level 4 – 證明有能力保護 CUI，並能降低進階持續性威脅 (advanced persistent threat; APT) 的風險】

程序要求: 除前級需求外，公司需有能力評估網路安全防護的有效度，並能做出修復性措施。

操作要求: 除前級需求外，另加 26項規範 (總共 156)

【Level 5 – 證明有能力保護 CUI，並能降低進階持續性威脅 (advanced persistent threat; APT) 的風險】

程序要求: 除前級需求外，公司需有能力將這些措施標準化並優化。

操作要求: 除前級需求外，另加 15 項規範 (總共 171)

至於這 171 項的定義為何，可向 FEI 詢問。

Featured Posts

Recent Posts

Archive

Search By Tags

Follow Us

CMMC 將「maturity model 成熟度模型」分為五級，而每一級皆由程序 (process) 及操作 (practice) 兩部分組成。廠商要獲得某一層級的認證，則必須符合該層級和以下所有層級的程序及操作的標準。