在RSA Conference 2022?的小組會議上，專家小組討論了美國國防部網(wǎng)絡(luò)安全成熟度模型認(rèn)證 (Cybersecurity Maturity Model Certification，CMMC) 計(jì)劃的意義和機(jī)遇。

FCW和國防系統(tǒng)高級編輯勞倫·威廉姆斯（Lauren Williams）解釋說，如果一個(gè)組織想要與美國國防部開展業(yè)務(wù)，它最終必須遵守網(wǎng)絡(luò)安全成熟度模型認(rèn)證計(jì)劃。過去幾年，國防部一直在討論CMMC，將其作為一種為國防承包商帶來統(tǒng)一安全標(biāo)準(zhǔn)的方法。2022年，人們正在嘗試定義更規(guī)范的2.0版本。 

美國國防部代理首席信息官凱利·弗萊徹（Kelly Fletcher）表示，CMMC 1.0有五個(gè)級別，非常復(fù)雜。而新的CMMC 2.0僅具有三個(gè)合規(guī)級別，旨在實(shí)現(xiàn)簡化的流程，使組織更容易理解。 

“并不是說網(wǎng)絡(luò)安全的管控不強(qiáng)大，只是這個(gè)過程更容易理解，”弗萊徹談到 CMMC 2.0 時(shí)說。 

新的 CMMC 2.0 將于 2023 年推出 

弗萊徹解釋道，CMMC 2.0 目前處于規(guī)則制定階段。該計(jì)劃將在 2023 年 3 月向美國管理和預(yù)算辦公室 (OMB) 征求公眾意見。目前預(yù)計(jì) CMMC 將在 2023 年夏天影響美國政府的合同。

“如果你已經(jīng)在與國防部合作，你應(yīng)該查看合同的網(wǎng)絡(luò)安全要求，因?yàn)榻裉旌贤械脑S多要求與 CMMC 的要求相同，”弗萊徹說。 

CMMC 認(rèn)證機(jī)構(gòu)的首席執(zhí)行官馬修·特拉維斯（Matthew Travis）解釋說，第三方評估機(jī)構(gòu)將對國防承包商進(jìn)行評估。Travis 預(yù)計(jì)，CMMC 將需要持續(xù)監(jiān)控和評估，而不僅僅是時(shí)間點(diǎn)的合規(guī)性。

DXC Technology的首席信息安全官邁克爾·貝克（Michael Baker）建議，企業(yè)現(xiàn)在應(yīng)該開始關(guān)注CMMC，并評估供應(yīng)鏈，包括關(guān)鍵分包商。

“我真的會優(yōu)先考慮，如果你有能力領(lǐng)先于 CMMC，請確保你履行了義務(wù)，”貝克說?！斑@對你的企業(yè)來說是正確的事情，因?yàn)槟悴幌Ｍ愕墓?yīng)鏈中存在漏洞，長遠(yuǎn)來看，你必須向國防部負(fù)責(zé)，因?yàn)槟銢]有做你需要做的事情。" 

背景介紹 

2020年1月31日，美國推出網(wǎng)絡(luò)安全成熟度模型認(rèn)證CMMC 1.0，時(shí)任擔(dān)任美國國防部副部長的Ellen M. Lord宣布這項(xiàng)計(jì)劃，并預(yù)告將在2026財(cái)年（2026年9月30日），規(guī)范所有新的國防部合約都需具備CMMC的要求。

CMMC的特性主要有下列三點(diǎn)：第一是具有“分層模型”的概念，要求國防部供應(yīng)商需根據(jù)信息的類型與敏感性，逐步實(shí)施網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，同時(shí)這項(xiàng)計(jì)劃還規(guī)定了，將信息向下傳遞給二線供應(yīng)商的流程。 

第二是“評估要求”，有了CMMC評估，將促使部門能夠驗(yàn)證出明確的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)施情形。 

第三是“通過合約實(shí)施”，一旦CMMC完全實(shí)施，對于處理敏感未分類國防部信息的供應(yīng)商而言，若要取得合約，供應(yīng)商本身需具備的條件，是達(dá)到特定的CMMC等級。 

如此一來，可借由創(chuàng)建分級制度，將安全層級明確訂出，而最重要的部分則是，CMMC認(rèn)證將經(jīng)由美國國防部授權(quán)的第三方評估機(jī)構(gòu)（C3PAOs）進(jìn)行，以判定供應(yīng)商是否合格。 

其實(shí)，在2021年11月，美國國防部就發(fā)布了 CMMC 2.0版，與前一版內(nèi)容相比，最明顯的差異，就是網(wǎng)絡(luò)安全成熟度的認(rèn)證級別上的變化。 

具體而言，美國國防部在原先的CMMC 1.0版中，劃分出五種認(rèn)證等級，由第一級到第五級由低至高排序，包括：基本網(wǎng)絡(luò)防護(hù)（Basic）、中等網(wǎng)絡(luò)防護(hù)（Intermediate）、良好網(wǎng)絡(luò)防護(hù)（Good）、主動防護(hù)（Proactive），以及高端防護(hù)（Advanced）。

在2.0版將有所調(diào)整，省略原本第二級與第四級的過渡階段，簡化為三個(gè)等級：第一級為基礎(chǔ)防護(hù)級（Foundational），第二級為高端防護(hù)級（Advanced），第三級為專家防護(hù)級（Expert）。同時(shí)，CMMC也朝向與NIST標(biāo)準(zhǔn)保持一致。

之所以發(fā)展出改進(jìn)簡化的CMMC 2.0版，主要是美國國防部在征求公眾意見后，為了讓中小企業(yè)更容易施行，因而進(jìn)行改良，其中不僅簡化認(rèn)證標(biāo)準(zhǔn)，減少評估費(fèi)用，也讓合規(guī)要求所面臨的障礙最小化。