在美國國防採購體系中,CMMC(Cybersecurity Maturity Model Certification)已成為承包商進入門檻的關鍵條件。若未取得對應等級認證,將直接喪失投標 DoD 合約的資格。
什麼是 CMMC?三個等級一次看懂
CMMC 2.0 框架將認證分為三個等級。Level 1(基礎級)涵蓋 17 項聯邦採購法規(FAR 52.204-21)基本實踐,適用於處理聯邦合約資訊(FCI)的承包商,可由企業自評完成。Level 2(進階級)對齊 NIST SP 800-171 全部 110 項安全要求,強制要求第三方認證機構(C3PAO)稽核,適用於接觸受控未加密資訊(CUI)的供應商。Level 3(專家級)則以 NIST SP 800-172 為基準,針對高度敏感國防計畫,由國防合約管理局(DCMA)直接執行政府評估。
如何準備 CMMC 合規?核心行動步驟
合規準備應從系統安全計畫(SSP)建立開始,完整記錄 CUI 資料流向與邊界範圍。接著針對 NIST SP 800-171 的 14 個控制域進行落差分析(Gap Assessment),並制定行動計畫與里程碑(POA&M)追蹤未達標項目。技術層面需優先落實多因素驗證(MFA)、存取控制最小權限原則、端點加密與稽核日誌保存。完成內部整備後,透過 CMMC 授權市場(Marketplace)選擇合格的 C3PAO 安排正式評估。評估結果將上傳至Supplier Performance Risk System(SPRS),DoD 採購官員可直接查驗合規狀態。
💡 重點整理
- 等級對應合約類型:投標前確認合約是否涉及 CUI,決定需申請 Level 1 或 Level 2。
- SSP 是評估核心:系統安全計畫文件不完整,將直接導致評估失敗。
- C3PAO 需提前預約:合格稽核機構數量有限,排期通常需數個月。
- SPRS 分數須達 110 分:未達標分數需附上 POA&M 說明改善計畫。
CMMC 合規並非一次性工作,而是持續性的安全治理承諾。及早啟動落差分析、建立完整文件體系,是在競爭激烈的 DoD 供應鏈中保有資格的關鍵。
📚 參考文獻
- 美國國防部官方 CMMC 文件:https://www.dodcmmc.mil——CMMC 2.0 框架、政策規範與授權機構完整資訊。
- NIST SP 800-171 Rev. 2:https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final——Level 2 對應的 110 項 CUI 保護要求官方原文。
- CMMC Accreditation Body Marketplace:https://www.cmmcab.org——查詢合格 C3PAO 稽核機構與授權評估人員名單。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言