在RSA Conference 2022?的小組會議上，專家小組討論了美國國防部網絡安全成熟度模型認證 (Cybersecurity Maturity Model Certification，CMMC) 計劃的意義和機遇。

FCW和國防系統高級編輯勞倫·威廉姆斯（Lauren Williams）解釋說，如果一個組織想要與美國國防部開展業務，它最終必須遵守網絡安全成熟度模型認證計劃。過去幾年，國防部一直在討論CMMC，將其作為一種為國防承包商帶來統一安全標準的方法。2022年，人們正在嘗試定義更規范的2.0版本。 

美國國防部代理首席信息官凱利·弗萊徹（Kelly Fletcher）表示，CMMC 1.0有五個級別，非常復雜。而新的CMMC 2.0僅具有三個合規級別，旨在實現簡化的流程，使組織更容易理解。 

“并不是說網絡安全的管控不強大，只是這個過程更容易理解，”弗萊徹談到 CMMC 2.0 時說。 

新的 CMMC 2.0 將于 2023 年推出 

弗萊徹解釋道，CMMC 2.0 目前處于規則制定階段。該計劃將在 2023 年 3 月向美國管理和預算辦公室 (OMB) 征求公眾意見。目前預計 CMMC 將在 2023 年夏天影響美國政府的合同。

“如果你已經在與國防部合作，你應該查看合同的網絡安全要求，因為今天合同中的許多要求與 CMMC 的要求相同，”弗萊徹說。 

CMMC 認證機構的首席執行官馬修·特拉維斯（Matthew Travis）解釋說，第三方評估機構將對國防承包商進行評估。Travis 預計，CMMC 將需要持續監控和評估，而不僅僅是時間點的合規性。

DXC Technology的首席信息安全官邁克爾·貝克（Michael Baker）建議，企業現在應該開始關注CMMC，并評估供應鏈，包括關鍵分包商。

“我真的會優先考慮，如果你有能力領先于 CMMC，請確保你履行了義務，”貝克說。“這對你的企業來說是正確的事情，因為你不希望你的供應鏈中存在漏洞，長遠來看，你必須向國防部負責，因為你沒有做你需要做的事情。" 

背景介紹 

2020年1月31日，美國推出網絡安全成熟度模型認證CMMC 1.0，時任擔任美國國防部副部長的Ellen M. Lord宣布這項計劃，并預告將在2026財年（2026年9月30日），規范所有新的國防部合約都需具備CMMC的要求。

CMMC的特性主要有下列三點：第一是具有“分層模型”的概念，要求國防部供應商需根據信息的類型與敏感性，逐步實施網絡安全標準，同時這項計劃還規定了，將信息向下傳遞給二線供應商的流程。 

第二是“評估要求”，有了CMMC評估，將促使部門能夠驗證出明確的網絡安全標準實施情形。 

第三是“通過合約實施”，一旦CMMC完全實施，對于處理敏感未分類國防部信息的供應商而言，若要取得合約，供應商本身需具備的條件，是達到特定的CMMC等級。 

如此一來，可借由創建分級制度，將安全層級明確訂出，而最重要的部分則是，CMMC認證將經由美國國防部授權的第三方評估機構（C3PAOs）進行，以判定供應商是否合格。 

其實，在2021年11月，美國國防部就發布了 CMMC 2.0版，與前一版內容相比，最明顯的差異，就是網絡安全成熟度的認證級別上的變化。 

具體而言，美國國防部在原先的CMMC 1.0版中，劃分出五種認證等級，由第一級到第五級由低至高排序，包括：基本網絡防護（Basic）、中等網絡防護（Intermediate）、良好網絡防護（Good）、主動防護（Proactive），以及高端防護（Advanced）。

在2.0版將有所調整，省略原本第二級與第四級的過渡階段，簡化為三個等級：第一級為基礎防護級（Foundational），第二級為高端防護級（Advanced），第三級為專家防護級（Expert）。同時，CMMC也朝向與NIST標準保持一致。

之所以發展出改進簡化的CMMC 2.0版，主要是美國國防部在征求公眾意見后，為了讓中小企業更容易施行，因而進行改良，其中不僅簡化認證標準，減少評估費用，也讓合規要求所面臨的障礙最小化。