關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.06.06
服務與產品/輔導諮詢
CMMC Level 2控制措施要求:企業保護CUI與通過資安評估的核心基礎

對於正在進入美國國防供應鏈,或已經與美國國防部主承包商、分包商、航太、國防科技、電子零組件、軟體開發、維修服務、雲端服務等業務往來的企業而言,CMMC Level 2 是最需要優先理解與準備的資安合規要求之一。

CMMC Level 2 的核心目的,是確認企業是否具備保護 CUI(Controlled Unclassified Information,受控非機密資訊)的能力。當企業在合約執行過程中處理、儲存或傳輸 CUI,就必須依據 CMMC Level 2 的要求,建立可被驗證的資訊安全控制措施、制度文件、技術設定與日常維運紀錄。

CMMC Level 2 並不是單純的資訊安全政策文件,也不是只要採購資安工具即可符合要求。它要求企業能夠證明:CUI 在整個生命週期中,從接收、儲存、使用、傳輸、備份、分享到刪除,都受到適當的安全保護。


CMMC Level 2與NIST SP 800-171的關係

CMMC Level 2 主要對應 NIST SP 800-171 的安全要求。NIST SP 800-171 是美國針對非聯邦組織保護 CUI 所制定的重要資安標準,其要求適用於會處理、儲存或傳輸 CUI 的非聯邦資訊系統與組織。

依據 NIST SP 800-171 Rev.2,其安全要求分布於 14 個控制族群,涵蓋 110 項安全要求。CMMC Level 2 評估即以這些要求作為核心基礎,檢視企業是否已經建立並落實適當的控制措施。

這代表企業若要準備 CMMC Level 2,不能只做一般資安健檢,而是需要逐項檢視 NIST SP 800-171 的要求,確認每一項控制措施是否已被實作、文件化、持續執行,並且能夠提出足夠佐證。


CMMC Level 2評估方式:自評與第三方評估

CMMC Level 2 可能依合約要求分為 Level 2 Self-Assessment 或 Level 2 Certification Assessment。Level 2 自評要求企業依規定完成評估,並將評估結果提交至 SPRS;Level 2 第三方認證評估則需由 C3PAO 執行,企業可能取得 Conditional 或 Final Level 2 狀態。

企業應注意,Level 2 不只是「打分數」,還需要完成 assessment scope、評估結果提交、主管 affirmation,以及必要時的 POA&M 管理。DoD 的 CMMC 官方資源亦提醒,CMMC 評估與 affirmation 需依規定提交至 SPRS。

因此,CMMC Level 2 的準備工作應同時涵蓋四個面向:

  1. 控制措施是否已經實作。
  2. 控制措施是否有制度文件支持。
  3. 控制措施是否有日常執行紀錄。
  4. 控制措施是否能在評估時被訪談、檢查與測試驗證。


CMMC Level 2十四大控制族群總覽

CMMC Level 2 依據 NIST SP 800-171 的架構,涵蓋以下 14 個控制族群:

  1. Access Control,存取控制
  2. Awareness and Training,意識與訓練
  3. Audit and Accountability,稽核與可歸責性
  4. Configuration Management,組態管理
  5. Identification and Authentication,識別與驗證
  6. Incident Response,事件應變
  7. Maintenance,維護管理
  8. Media Protection,媒體保護
  9. Personnel Security,人員安全
  10. Physical Protection,實體保護
  11. Risk Assessment,風險評估
  12. Security Assessment,安全評估
  13. System and Communications Protection,系統與通訊保護
  14. System and Information Integrity,系統與資訊完整性

這 14 個控制族群不是彼此獨立的文件清單,而是共同構成 CUI 保護能力。例如,企業若要保護 CUI,不只需要限制使用者權限,也需要確認身分驗證、日誌紀錄、系統組態、弱點修補、備份、事件應變與實體環境安全都能配合運作。


CMMC Level 2控制措施要求摘要說明

以下依 14 個控制族群,說明企業在導入 CMMC Level 2 時應理解的控制要求、實作重點與常見佐證。

 

  1. Access Control|存取控制存取控制是 CMMC Level 2 的核心要求之一,目的在於確保只有經授權的人員、系統或服務可以存取 CUI。企業必須能夠限制系統存取、管理帳號權限、區分一般使用者與特權使用者,並確保遠端存取、無線存取與外部連線受到適當管控。企業應建立帳號與權限管理流程,包含帳號申請、核准、異動、停用、定期審查與特權帳號控管。對於可以接觸 CUI 的系統,應採取最小權限原則,避免使用者取得超出工作所需的權限。

  2. Awareness and Training|意識與訓練CMMC Level 2 要求企業確保員工具備保護 CUI 的基本認知,並理解自身在資訊安全與合規中的責任。資安訓練不應只是年度課程,而應與員工職務、資料處理情境與實際風險連結。企業應針對一般使用者、系統管理員、特權使用者、專案人員與接觸 CUI 的員工提供適當訓練。訓練內容可包含 CUI 識別、CUI 標示、資料分享限制、釣魚郵件辨識、密碼與 MFA 使用、事件通報、行動裝置與雲端服務使用規範。
  3. Audit and Accountability|稽核與可歸責性稽核與可歸責性要求企業能夠記錄、保護、檢視與保存重要系統活動。當 CUI 被存取、修改、傳輸或刪除時,企業應具備足夠的日誌紀錄,以便追蹤誰在何時執行了哪些行為。這個控制族群的重點不是「系統有產生日誌」而已,而是企業必須定義哪些事件需要記錄、日誌保存多久、由誰檢視、如何處理異常,以及如何防止日誌遭未授權修改或刪除。
  4. Configuration Management|組態管理組態管理要求企業建立安全基準,確保系統、網路設備、伺服器、端點與應用程式不會因錯誤設定而造成 CUI 暴露。企業應能夠管理系統變更、限制不必要功能、控管軟體安裝,並確認組態設定符合安全要求。許多 CMMC 評估缺口來自組態管理不足,例如預設帳號未停用、不必要服務未關閉、系統未套用安全基準、變更未經核准或無法追溯。
  5. Identification and Authentication|識別與驗證識別與驗證要求企業確認使用者、程序與裝置的身分,避免未授權者存取系統或 CUI。對於特權帳號、遠端存取與重要系統,企業應採取更嚴格的驗證方式。多因素驗證是此控制族群中常見的重點之一。企業應確認哪些系統需要 MFA、哪些帳號具有高風險權限、密碼政策是否符合要求,以及是否能防止共用帳號或匿名存取。
  6. Incident Response|事件應變:事件應變要求企業能夠準備、偵測、分析、通報、處理與復原資安事件。當 CUI 可能遭到未授權存取、外洩、竄改或破壞時,企業必須具備明確的處理流程與責任分工。事件應變不只是寫一份程序文件。企業還需要建立事件分類、通報管道、處理紀錄、根因分析、改善追蹤與演練機制。若合約涉及特定通報條款,還需要確認對外通報責任與時限。
  7. Maintenance|維護管理:維護管理要求企業控管系統維修、遠端維護、外部維運人員與維護工具。當系統需要由內部或外部人員維護時,企業必須確保維護活動不會造成 CUI 暴露或系統安全風險。此控制族群特別適用於有外包維運、設備廠商支援、遠端技術支援或雲端管理服務的企業。企業應定義維護前核准、維護期間監控、維護後確認與遠端連線控管機制。
  8. Media Protection|媒體保護:媒體保護要求企業保護儲存 CUI 的實體與數位媒體,例如硬碟、USB、備份磁帶、外接儲存設備、光碟、紙本文件與可攜式媒體。企業必須控制媒體存取、標示、傳輸、儲存、重複使用與銷毀。對許多企業而言,CUI 不一定只存在於正式系統,也可能存在於下載檔案、備份檔、工程圖、報告、郵件附件、暫存資料或紙本資料中。因此媒體保護需要與資產管理、資料分類與加密機制配合。
  9. Personnel Security|人員安全:人員安全要求企業在人員任用、轉調、離職與職務變更時,確保系統與 CUI 存取權限受到適當管理。當員工離職或不再需要存取 CUI 時,企業必須即時移除其權限,並回收設備、證件與媒體。此控制族群與人資、資訊部門、主管及外部人員管理密切相關。若企業有派遣人員、外包人員或承包商,也應確認其存取權限與保密義務受到管理。
  10. Physical Protection|實體保護:實體保護要求企業限制未授權人員進入存放或處理 CUI 的區域。這可能包括辦公室、機房、伺服器區、文件存放區、備份媒體保存區或其他敏感作業區域。企業應建立門禁控管、訪客管理、實體監控與設備保護機制,確保未授權人員無法直接接觸系統、文件、網路設備或儲存媒體。
  11. Risk Assessment|風險評估:風險評估要求企業定期識別資訊系統與 CUI 保護相關風險,並針對弱點、威脅與衝擊程度採取適當處理措施。此控制族群通常與弱點掃描、風險登錄、改善追蹤及管理階層決策密切相關。企業不只需要執行風險評估,也需要能證明風險評估結果如何轉化為改善行動。例如弱點掃描發現高風險漏洞後,企業應有修補時程、負責人與驗證紀錄。
  12. Security Assessment|安全評估:安全評估要求企業定期評估安全控制是否有效,並針對未完成或不足項目建立改善計畫。對 CMMC Level 2 而言,SSP 與 POA&M 是非常重要的文件基礎。SSP 應描述企業系統邊界、CUI 範圍、控制措施實作方式、責任分工與相關系統環境。POA&M 則應記錄尚未完全符合的項目、改善措施、負責人、完成日期與驗證方式。
  13. System and Communications Protection|系統與通訊保護:系統與通訊保護要求企業保護系統邊界、網路通訊與資料傳輸安全,避免 CUI 在傳輸或系統互連過程中遭到竊聽、未授權存取或外洩。企業應針對網路邊界、雲端服務、VPN、電子郵件、檔案傳輸、系統介接與遠端存取建立保護措施。對 CUI 的傳輸與儲存,應依風險與要求採取加密與存取限制。
  14. System and Information Integrity|系統與資訊完整性:系統與資訊完整性要求企業能夠及時識別、通報與修補系統缺陷,偵測惡意程式與異常活動,並保護資訊不被未授權修改或破壞。此控制族群與弱點管理、修補管理、防毒/EDR、惡意程式防護、資安監控與事件應變高度相關。企業需要有機制確認系統弱點被發現後能及時處理,且惡意活動能被偵測、通報與回應。

 

CMMC Level 2常見核心文件

企業準備 CMMC Level 2 時,除了控制措施本身,也需要建立完整的文件與紀錄。以下是常見核心文件:

  • System Security Plan,系統安全計畫
  • Plan of Action and Milestones,改善計畫與里程碑
  • CMMC Assessment Scope,評估範圍說明
  • CUI 資料流向圖
  • 資產清冊
  • 使用者與特權帳號清冊
  • 資訊安全政策
  • 存取控制程序
  • 帳號與權限管理程序
  • 組態管理程序
  • 弱點與修補管理程序
  • 日誌監控程序
  • 事件應變程序
  • 媒體保護程序
  • 供應商與外包服務安全管理程序
  • 備份與復原程序
  • 教育訓練紀錄
  • 內部自評與改善追蹤紀錄

其中,SSP 與 POA&M 是 CMMC Level 2 準備過程中最重要的管理文件之一。SSP 用來說明企業如何保護 CUI,POA&M 則用來追蹤尚未完成的改善項目。若文件內容與實際系統設定、日常作業或訪談結果不一致,將影響評估結果。
 

CMMC Level 2導入常見落差

企業在準備 CMMC Level 2 時,常見落差包括:

  1. CUI範圍界定不清:企業不知道 CUI 存在哪些系統、資料夾、郵件、雲端服務、備份或外包流程中,導致 assessment scope 過大、過小或不正確。
  2. 有制度但沒有執行紀錄:企業可能已有資安政策與程序,但缺乏權限審查、日誌檢視、弱點修補、備份測試、事件演練等執行紀錄。
  3. 技術工具未形成控制證據:防火牆、防毒、MFA、VPN、備份系統或 SIEM 雖已導入,但沒有清楚對應到控制項要求,也沒有保存設定截圖、報表或審查紀錄。
  4. POA&M沒有實際管理:POA&M 若只是為了評估而建立,未明確列出責任人、完成期限、改善方式與驗證證據,將無法有效支援合規改善。
  5. 雲端服務責任邊界不清:使用 Microsoft 365、Google Workspace、雲端主機、SOC、MSSP 或外包維運服務時,企業仍需釐清自身與供應商的責任分工,並保存相關設定與合約佐證。


台灣應用軟件如何協助企業準備CMMC Level 2

台灣應用軟件協助企業以務實、可驗證的方式,在U-CAMP平台上,將 CMMC Level 2的14 個控制族群與 110 項安全要求轉化為可執行的制度文件、技術控制與日常管理紀錄。我們的服務可包含:

  • CMMC Level 2 適用性分析
  • FCI / CUI 資料識別與流程盤點
  • CMMC assessment scope 界定
  • NIST SP 800-171 差距分析
  • SSP 與 POA&M 建置
  • 14 大控制族群導入規劃
  • 控制項佐證清單建立
  • 權限、日誌、弱點、備份、事件應變等流程設計
  • 雲端服務與外包維運安全責任檢視
  • SPRS 自評準備
  • C3PAO 第三方評估前預評估
  • 管理階層、系統管理員與控制負責人訪談準備

我們協助企業避免只做文件、只買工具或只追求分數的導入方式,而是建立真正可維護、可驗證、可持續改善的 CUI 保護能力。


CMMC Level 2是供應鏈資安信任的門檻

CMMC Level 2 的要求看似龐大,但其本質是建立企業保護 CUI 的基本能力。企業若能以 NIST SP 800-171 為架構,逐步完成範圍界定、控制措施導入、文件建置、證據整理與內部評估,就能更有系統地面對美國國防供應鏈資安要求。

對台灣企業而言,CMMC Level 2 不只是合約門檻,也是一項提升國際客戶信任、強化資安治理與拓展國防及高科技供應鏈市場的重要能力。

台灣應用軟件可協助企業從 CMMC Level 2 差距分析開始,逐步完成 14 大控制族群導入、SSP 與 POA&M 建置、控制項佐證整理與 C3PAO 評估前準備,協助企業建立可被驗證的資安合規基礎。