在RSAConference2022?的小組會議上，專家小組討論了美國國防部網絡安全成熟度模型認證(CybersecurityMaturityModelCertification，CMMC)計劃的意義和機遇。

　　FCW和國防系統高級編輯勞倫·威廉姆斯（LaurenWilliams）解釋說，如果一個組織想要與美國國防部開展業務，它最終必須遵守網絡安全成熟度模型認證計劃。過去幾年，國防部一直在討論CMMC，將其作為一種為國防承包商帶來統一安全標準的方法。2022年，人們正在嘗試定義更規范的2.0版本。

　　美國國防部代理首席信息官凱利·弗萊徹（KellyFletcher）表示，CMMC1.0有五個級別，非常復雜。而新的CMMC2.0僅具有三個合規級別，旨在實現簡化的流程，使組織更容易理解。

　　“并不是說網絡安全的管控不強大，只是這個過程更容易理解，”弗萊徹談到CMMC2.0時說。

　　新的CMMC2.0將于2023年推出

　　弗萊徹解釋道，CMMC2.0目前處于規則制定階段。該計劃將在2023年3月向美國管理和預算辦公室(OMB)征求公眾意見。目前預計CMMC將在2023年夏天影響美國政府的合同。

　　“如果你已經在與國防部合作，你應該查看合同的網絡安全要求，因為今天合同中的許多要求與CMMC的要求相同，”弗萊徹說。

　　CMMC認證機構的首席執行官馬修·特拉維斯（MatthewTravis）解釋說，第三方評估機構將對國防承包商進行評估。Travis預計，CMMC將需要持續監控和評估，而不僅僅是時間點的合規性。

　　DXCTechnology的首席信息安全官邁克爾·貝克（MichaelBaker）建議，企業現在應該開始關注CMMC，并評估供應鏈，包括關鍵分包商。

　　“我真的會優先考慮，如果你有能力領先于CMMC，請確保你履行了義務，”貝克說。“這對你的企業來說是正確的事情，因為你不希望你的供應鏈中存在漏洞，長遠來看，你必須向國防部負責，因為你沒有做你需要做的事情。"

　　背景介紹

　　2020年1月31日，美國推出網絡安全成熟度模型認證CMMC1.0，時任擔任美國國防部副部長的EllenM.Lord宣布這項計劃，并預告將在2026財年（2026年9月30日），規范所有新的國防部合約都需具備CMMC的要求。

　　CMMC的特性主要有下列三點：第一是具有“分層模型”的概念，要求國防部供應商需根據信息的類型與敏感性，逐步實施網絡安全標準，同時這項計劃還規定了，將信息向下傳遞給二線供應商的流程。

　　第二是“評估要求”，有了CMMC評估，將促使部門能夠驗證出明確的網絡安全標準實施情形。

　　第三是“通過合約實施”，一旦CMMC完全實施，對于處理敏感未分類國防部信息的供應商而言，若要取得合約，供應商本身需具備的條件，是達到特定的CMMC等級。

　　如此一來，可借由創建分級制度，將安全層級明確訂出，而最重要的部分則是，CMMC認證將經由美國國防部授權的第三方評估機構（C3PAOs）進行，以判定供應商是否合格。

　　其實，在2021年11月，美國國防部就發布了CMMC2.0版，與前一版內容相比，最明顯的差異，就是網絡安全成熟度的認證級別上的變化。

　　具體而言，美國國防部在原先的CMMC1.0版中，劃分出五種認證等級，由第一級到第五級由低至高排序，包括：基本網絡防護（Basic）、中等網絡防護（Intermediate）、良好網絡防護（Good）、主動防護（Proactive），以及高端防護（Advanced）。

　　在2.0版將有所調整，省略原本第二級與第四級的過渡階段，簡化為三個等級：第一級為基礎防護級（Foundational），第二級為高端防護級（Advanced），第三級為專家防護級（Expert）。同時，CMMC也朝向與NIST標準保持一致。

　　之所以發展出改進簡化的CMMC2.0版，主要是美國國防部在征求公眾意見后，為了讓中小企業更容易施行，因而進行改良，其中不僅簡化認證標準，減少評估費用，也讓合規要求所面臨的障礙最小化。