美國國防部期待已久的網路安全成熟度模型認證（CMMC）計畫於 2025 年 11 月 10 日正式進入執行階段，CMMC計劃作為《國防聯邦採購條例補充條款》（DFARS）的修正案引入，要求國防承包商和分包商實施特定的網路安全措施來保護敏感資訊。 美國國防部（又稱戰爭部）現在可以強制要求符合CMMC 標準，作為新的國防工業基地 (DIB) 合約的條件。目標是確保承包商和分包商能夠保護聯邦合約資訊 (FCI) 和受控非密資訊 (CUI)。 FCI 是指提供給承包商或由承包商產生的、不擬公開的資訊。 CUI 是指敏感的政府信息，雖然不屬於機密信息，但仍需要防止未經授權的披露。 過去八年來，承包商可以自行證明其網路安全合規性，但現在一些組織還需要接受經認證的第三方評估機構 (C3PAO) 的正式評估。在未來幾個月內開始，承包商根據所處理資訊的敏感度，必須遵守 CMMC 三個成熟度等級之一：
(1) 一級保護涵蓋FCI的基本安全防護，要求每年進行自我評估並遵守15項要求。
(2) 二級保護涵蓋CUI的全面保護，可能需要進行自我評估，或由C3PAO進行評估，以確保符合NIST SP 800-171網路安全框架中規定的110項要求。
(3) 三級旨在為受控非密資訊 (CUI) 提供更高等級的保護，以抵禦進階持續性威脅 (APT)。
它要求國防合約管理局的國防工業基地網路安全評估中心 (DIBCAC) 每三年進行一次評估，並符合 NIST SP 800-171 中的 110 項要求以及 NIST SP 800-172 中的另外 24 項要求（增強型安全要求）。 2025年11月10日標誌著CMMC實施第一階段的開始，承包商需完成第一級和第二級自我評估。第二階段定於2026年11月10日開始，屆時承包商需完成第三方評估，以獲得新合約的二級認證。第三階段計劃於2027年11月10日開始，屆時將引入3級要求。第四階段也是最後一個階段定於2028年11月10日開始，屆時將在所有適用的合約中全面實施CMMC要求。

CMMC的全面實施對整個國防工業基地 (DIB) 供應鏈產生了深遠影響，尤其對於分包商而言，這是一個迫切的挑戰。報告指出，僅有極少數的國防承包商（在2024年為4%，近期降至1%）對CMMC做好了充分準備。目前，八萬家需要取得二級認證的承包商中，只有大約270家持有最終證書，這一巨大的合規缺口將使未準備好的承包商失去數十億美元的國防合約機會。

此計畫等同於一次「GDPR級別的事件」，它揭示了許多中小型承包商和製造業公司在網路安全上的脆弱性。這些公司往往缺乏專業的IT部門，仍在依賴不符合敏感資訊儲存標準的個人電子郵件或商業解決方案，成為供應鏈中真正的漏洞。為了應對CMMC的強制執行，網路安全服務提供商正積極推出或更新其產品與服務，以協助企業達成合規要求。對於有志參與美國國防合約或作為其供應鏈一環的台灣應用軟件廠商而言，理解並預先部署符合NIST SP 800-171及800-172標準的解決方案，將是未來爭取國際業務的關鍵競爭力。

資料來源：https://www.securityweek.com/cmmc-live-pentagon-demands-verified-cybersecurity-from-contractors/