在RSAConference2022?的小組會(huì)議上，專家小組討論了美國(guó)國(guó)防部網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CybersecurityMaturityModelCertification，CMMC)計(jì)劃的意義和機(jī)遇。

　　FCW和國(guó)防系統(tǒng)高級(jí)編輯勞倫·威廉姆斯（LaurenWilliams）解釋說(shuō)，如果一個(gè)組織想要與美國(guó)國(guó)防部開(kāi)展業(yè)務(wù)，它最終必須遵守網(wǎng)絡(luò)安全成熟度模型認(rèn)證計(jì)劃。過(guò)去幾年，國(guó)防部一直在討論CMMC，將其作為一種為國(guó)防承包商帶來(lái)統(tǒng)一安全標(biāo)準(zhǔn)的方法。2022年，人們正在嘗試定義更規(guī)范的2.0版本。

　　美國(guó)國(guó)防部代理首席信息官凱利·弗萊徹（KellyFletcher）表示，CMMC1.0有五個(gè)級(jí)別，非常復(fù)雜。而新的CMMC2.0僅具有三個(gè)合規(guī)級(jí)別，旨在實(shí)現(xiàn)簡(jiǎn)化的流程，使組織更容易理解。

　　“并不是說(shuō)網(wǎng)絡(luò)安全的管控不強(qiáng)大，只是這個(gè)過(guò)程更容易理解，”弗萊徹談到CMMC2.0時(shí)說(shuō)。

　　新的CMMC2.0將于2023年推出

　　弗萊徹解釋道，CMMC2.0目前處于規(guī)則制定階段。該計(jì)劃將在2023年3月向美國(guó)管理和預(yù)算辦公室(OMB)征求公眾意見(jiàn)。目前預(yù)計(jì)CMMC將在2023年夏天影響美國(guó)政府的合同。

　　“如果你已經(jīng)在與國(guó)防部合作，你應(yīng)該查看合同的網(wǎng)絡(luò)安全要求，因?yàn)榻裉旌贤械脑S多要求與CMMC的要求相同，”弗萊徹說(shuō)。

　　CMMC認(rèn)證機(jī)構(gòu)的首席執(zhí)行官馬修·特拉維斯（MatthewTravis）解釋說(shuō)，第三方評(píng)估機(jī)構(gòu)將對(duì)國(guó)防承包商進(jìn)行評(píng)估。Travis預(yù)計(jì)，CMMC將需要持續(xù)監(jiān)控和評(píng)估，而不僅僅是時(shí)間點(diǎn)的合規(guī)性。

　　DXCTechnology的首席信息安全官邁克爾·貝克（MichaelBaker）建議，企業(yè)現(xiàn)在應(yīng)該開(kāi)始關(guān)注CMMC，并評(píng)估供應(yīng)鏈，包括關(guān)鍵分包商。

　　“我真的會(huì)優(yōu)先考慮，如果你有能力領(lǐng)先于CMMC，請(qǐng)確保你履行了義務(wù)，”貝克說(shuō)。“這對(duì)你的企業(yè)來(lái)說(shuō)是正確的事情，因?yàn)槟悴幌Ｍ愕墓?yīng)鏈中存在漏洞，長(zhǎng)遠(yuǎn)來(lái)看，你必須向國(guó)防部負(fù)責(zé)，因?yàn)槟銢](méi)有做你需要做的事情。"

　　背景介紹

　　2020年1月31日，美國(guó)推出網(wǎng)絡(luò)安全成熟度模型認(rèn)證CMMC1.0，時(shí)任擔(dān)任美國(guó)國(guó)防部副部長(zhǎng)的EllenM.Lord宣布這項(xiàng)計(jì)劃，并預(yù)告將在2026財(cái)年（2026年9月30日），規(guī)范所有新的國(guó)防部合約都需具備CMMC的要求。

　　CMMC的特性主要有下列三點(diǎn)：第一是具有“分層模型”的概念，要求國(guó)防部供應(yīng)商需根據(jù)信息的類型與敏感性，逐步實(shí)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，同時(shí)這項(xiàng)計(jì)劃還規(guī)定了，將信息向下傳遞給二線供應(yīng)商的流程。

　　第二是“評(píng)估要求”，有了CMMC評(píng)估，將促使部門(mén)能夠驗(yàn)證出明確的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)施情形。

　　第三是“通過(guò)合約實(shí)施”，一旦CMMC完全實(shí)施，對(duì)于處理敏感未分類國(guó)防部信息的供應(yīng)商而言，若要取得合約，供應(yīng)商本身需具備的條件，是達(dá)到特定的CMMC等級(jí)。

　　如此一來(lái)，可借由創(chuàng)建分級(jí)制度，將安全層級(jí)明確訂出，而最重要的部分則是，CMMC認(rèn)證將經(jīng)由美國(guó)國(guó)防部授權(quán)的第三方評(píng)估機(jī)構(gòu)（C3PAOs）進(jìn)行，以判定供應(yīng)商是否合格。

　　其實(shí)，在2021年11月，美國(guó)國(guó)防部就發(fā)布了CMMC2.0版，與前一版內(nèi)容相比，最明顯的差異，就是網(wǎng)絡(luò)安全成熟度的認(rèn)證級(jí)別上的變化。

　　具體而言，美國(guó)國(guó)防部在原先的CMMC1.0版中，劃分出五種認(rèn)證等級(jí)，由第一級(jí)到第五級(jí)由低至高排序，包括：基本網(wǎng)絡(luò)防護(hù)（Basic）、中等網(wǎng)絡(luò)防護(hù)（Intermediate）、良好網(wǎng)絡(luò)防護(hù)（Good）、主動(dòng)防護(hù)（Proactive），以及高端防護(hù)（Advanced）。

　　在2.0版將有所調(diào)整，省略原本第二級(jí)與第四級(jí)的過(guò)渡階段，簡(jiǎn)化為三個(gè)等級(jí)：第一級(jí)為基礎(chǔ)防護(hù)級(jí)（Foundational），第二級(jí)為高端防護(hù)級(jí)（Advanced），第三級(jí)為專家防護(hù)級(jí)（Expert）。同時(shí)，CMMC也朝向與NIST標(biāo)準(zhǔn)保持一致。

　　之所以發(fā)展出改進(jìn)簡(jiǎn)化的CMMC2.0版，主要是美國(guó)國(guó)防部在征求公眾意見(jiàn)后，為了讓中小企業(yè)更容易施行，因而進(jìn)行改良，其中不僅簡(jiǎn)化認(rèn)證標(biāo)準(zhǔn)，減少評(píng)估費(fèi)用，也讓合規(guī)要求所面臨的障礙最小化。