美國國防部（DoD）於10月15日在聯邦公報正式公布研擬已久的CMMC 2.0版正式版（Final Rule），並將CMMC 1.0版的五個認證階段簡化成三個，今年12月16日正式實施，最晚2027年12月16日後，國防採購合約將全面納入CMMC認證。

美國的國防工業基地（Defense Industrial Base，DIB）業者，國防部（DoD）區分為一線供應商（承包商）和二線供應商（分包商），這些業者若面臨處理、傳輸和儲存與聯邦合約資訊（Federal Contract Information，FCI）以及受控未分類資訊（Controlled unclassified information，CUI），都需要依據保護相關資料所面臨的網路安全風險，取得「網路安全成熟度模型認證（Cybersecurity Maturity Model Certification）」，簡稱CMMC。

經過長期的研擬，10月15日這天，美國國防部將CMMC 2.0最終版（Final Rule）公布在聯邦公報（Federal Register），六十天後（12月16日）正式生效；此次CMMC 2.0版將原先1.0版的五個等級認證，簡化成為三個等級，以三年、四個階段實施三個等級的認證，預計2027年12月16日全面納入國防採購合約。

CMMC 2.0版認證的主要目的，就是要評估美國國防部相關承包商與供應鏈業者的網路安全防護能力，而2.0版的修訂，不只是希望確保承包商能夠遵循最佳實務做法，以保護網路上的敏感資訊，同時也使中小型業者（SMB）更容易遵守這些規範。

規範國防承包商保護FCI和CUI的網路安全措施

CMMC 計劃源自於美國國防部長期以來為保護國防工業基地的數據安全所做的努力。在該項計畫啟動之前，許多國防承包商依賴於自我聲明（self-attestation）的方式，確認其網絡安全措施是否符合 NIST SP 800-171 的要求。然而，隨著網絡威脅的不斷增長，這種方式存在許多不足之處，導致 DoD無法全面掌握承包商是否真正落實所需的安全控制。為了提高透明度與安全性，國防部 2019 年正式宣布 CMMC計畫，旨在通過第三方評估認證制度，加強對承包商網絡安全狀況的監管。

推動CMMC的目的是驗證國防承包商，是否遵守針對聯邦合約資訊（FCI）和受控未分類資訊（CUI）的現有保護措施，並在與網路安全威脅（包括APT威脅）風險相稱的級別保護該資訊。

CMMC 2.0版將評估等級，從原先1.0版的五個減少到三個，簡化中小企業取得認證的流程。該版也明定三個等級的認證內容，必須符合聯邦採購條例第52.204-21部分（Federal Acquisition Regulation part 52.204-21）以及美國NIST SP 800-171第2版和SP 800-172對網路安全的要求，更明確指出CMMC第三級認證必須遵守的24項NIST SP 800-172的要求。

《聯邦法規彙編》（Code of Federal Regulations）的第32篇（32 CFR）規範美國國防部政策、管理和行政職能，CMMC相關規範就屬於32 CFR的一部分，針對處理聯邦合約資訊和受控未分類資訊的國防承包商，提供明確的網路安全規範，確保國防工業基地（DIB）的資訊安全。

聯邦合約資訊是指由美國政府提供，或由承包商在履行合約時所生成的未公開信息，不屬於受控未分類資訊，但仍需基本保護，而處理FCI的國防承包商需達到CMMC第1級認證的要求。

至於受控未分類資訊，則是需要根據法律、政策或合約進行特別保護的敏感訊息，包括國防技術與數據、個人身分資料（PII）等，處理這類資訊的國防承包商，需達到CMMC第2級或CMMC第3級認證的要求。

CMMC 2.0版的三個認證等級和實施時間

CMMC源自美國總統歐巴馬2010年11月4日簽署行政命令13556，該命令要求建立統一的計畫管理受控非分類資訊，希望針對政府內部管理未分類但需要保護的資訊，卻面臨不同保護標準的問題，提出解決之道。

美國國防部（DoD）2019年宣布開始發展CMMC，希望為美國國防工業基地建立更為嚴格的網路安全框架，因應日益複雜的網路威脅；而之所以提出CMMC，目標就是取代過往自我驗證的安全模式，以強化網路安全要求。

在2020年9月29日，美國國防部在聯邦公報（Federal Register）發布CMMC 1.0版的臨時最終規則（final rule），確立CMMC 1.0的基本框架，不僅定義了逐步實施CMMC的初步計畫，美國國防部也開始進行五年的分階段實施計畫。

CMMC 1.0版於2020年11月30日正式生效，意味著五年分階段實施計畫開始執行，美國國防部也要求國防產業承包商，必須取得CMMC相關認證以履行合約。

在2021年11月，美國國防部針對來自業界和大眾意見，發布CMMC 2.0版修正草案，將CMMC認證層級從原先的五個層級減至三個，目的在於簡化承包商的合規過程，並確保有效的網路安全措施得以實施。

直到今年10月15日，CMMC 2.0最終版（final rule）才公布在聯邦公報（Federal Register），並於六十天後（今年12月16日）正式生效；另外，在三年內，也將分成四個階段實施CMMC認證。

而國防工業基地（DIB）相關的企業也應採取相關行動，評估其對現有資安要求的遵守情況，以及是否準備好遵守CMMC評估。另外，國防工業基地的成員也能用雲服務的產品，滿足網路安全要求，這些都必須作為CMMC要求的一部分進行評估。

CMMC對國防供應鏈管理有直接的影響，根據這當中的要求，主要承包商必須確保其供應鏈中的所有分包商，同樣符合相應等級的安全要求。這意味著，任何與FCI或CUI有關的資料數據，只要流通到供應鏈的任何一個環節，該環節的承包商都需達到相應的CMMC認證標準。

第一階段：CMMC第1級認證─—自我評估

CMMC第1級認證要求就是要做到「基本網路安全防護」，自2024年12月16日開始實施，主要適用對象是：針對處理聯邦合約資訊的承包商，必須符合《聯邦採購條例》（FAR）52.204-21的15項安全控制措施，而這些主要是保護非敏感信息的基本措施。

至於評估方式，主要是相關的承包商要做自我評估（Self-Assessment），每年更新一次，將自評結果記錄在供應商績效風險系統（SPRS）。

第二階段：CMMC第2級認證──自我評估及第三方評估機構（C3PAO）評估

CMMC第2級認證要求就是要做到「中等網路安全防護」，自2025年12月16日開始實施，主要適用對象是：針對處理受控未分類資訊的承包商，必須在FAR規定的基礎上，做到符合NIST SP 800-171第2版中所規定的110項安全措施，這些安全措施對CUI的保護，要求比CMMC第1級認證更嚴格，適用於更敏感的信息，需要更高級別安全防護的承包商。

至於評估方式有兩種，第一種是承包商可以選擇自我評估（Self-Assessment），要求承包商定期進行完整的網路安全檢查，確認其組織已經實施並符合NIST SP 800-171第2版的110項網路安全要求，這些要求涵蓋了資料保護、存取控制、以及系統安全等範疇，適用於處理CUI的環境。

這個自我評估必須每三年進行一次完整的自我評估，並確認其符合所有要求，這些自我評估的結果都需要記錄在供應商績效風險系統（SPRS）中；在三年內都必須保持合規的同時，承包商還需每年進行一次自我確認（Annual Affirmation）來確認其安全狀況沒有改變。

如果承包商在評估過程中未能完全符合安全要求，承包商會暫時獲得「有條件」的認證資格，但必須制定行動計畫與里程碑（POA&M），在180天內完成所有剩餘的安全要求，否則其資格將失效。

第二種評估方式就是，聘請第三方評估機構（C3PAO）針對處理受控非分類資訊（CUI）承包商進行評估，同樣必須做到NIST SP 800-171第2版的110項網路安全要求，而第三方評估機構也會針對承包商的系統、政策和實施過程進行檢測和驗證。

第三方評估的結果也會記錄在，國防部用來記錄和管理承包商的網路安全狀態的CMMC eMASS（Enterprise Mission Assurance Support Service）專用系統中，認證完成後，也必須要將結果提交到供應商績效風險系統（SPRS），以確認美國國防部可以追蹤承包商的網路安全評估結果以及合規狀態。

第三方評估機構（C3PAO）也會將評估的結果提供給承包商，合格的承包商也會獲得認證，認證有效期限為三年。倘若接受檢測的承包商有任何安全要求尚未達標，承包商可以制定行動計畫與里程碑（POA&M），來完成剩餘的、尚未達標的安全要求，但這些計畫必須在180天內完成並進行改善，否則其資格將失效。

至於，CMMC第2級認證中，自我評估及第三方評估機構（C3PAO）評估的差異，主要在於評估方式的嚴謹性。

第三階段：CMMC第3級認證─由政府單位DIBCAC主導的評估

CMMC第3級認證就是要做到「高級網路安全防護」，自2026年12月16日開始實施，這一階段需要更加嚴格的網路安全控制措施和第三方評估。

主要適用對象是：處理高度敏感受控非分類資訊（CUI），或涉及與國防相關的承包商，在CMMC第2級認證的基礎上，做到符合NIST SP 800-171的110項安全措施外，還需額外增加NIST SP 800-172中的24項加強安全要求的措施。

主要是針對需要高度安全的系統，尤其是涉及國家安全的關鍵技術或數據，會由國防部國防合約管理局（DCMA）網路安全評估中心（DIBCAC）主導CMMC第3級認證的評估。

這是一個由政府主導的評估認證，評估的結果也會記錄在，國防部用來記錄和管理承包商的網路安全狀態的CMMC eMASS（Enterprise Mission Assurance Support Service）專用系統，不僅每三年需更新一次評估結果，也需要將結果提交供應商績效風險系統（SPRS）。

第四階段：CMMC將全面納入國防採購合約

自2027年12月16日起，所有國防部相關合約將全面納入CMMC認證規範，所有涉及聯邦合約資訊（FCI）或受控非分類資訊（CUI）的合約，都必須達到指定的CMMC認證層級，並且符合合約中所有的網路安全控制措施，才能夠參與合約的競標和履行。

CMMC的要求將從2024年12月16日起，逐步被納入國防部的合約，逐步擴展到更多國防部的合約中，特別是涉及更高敏感度數據（CUI）的合約。到2027年達到全面覆蓋。

分階段實施CMMC認證，就是希望逐步加強對國防承包商的網路安全要求，提供足夠的時間，讓國防承包商可以達到所需的安全標準，並完成相關的安全控制措施。

推動CMMC帶來的優勢，包括：保護敏感資訊以支援和保護作戰人員；實施國防工業基地（DIB）網路安全標準，以應對不斷變化的網路威脅；確保問責制，同時最大限度地減少遵守美國國防部（DoD）要求的障礙；延續網路安全和網路彈性的協作文化；通過高專業和道德標準，維護公眾信任，

另外，國防工業基地（DIB）的成員，也可以使用雲服務產品滿足網路安全要求，這些要求，必須作為CMMC認證要求的一部分進行評估。

美國國防部的後續國防聯邦採購法規補充（Defense Federal Acquisition Regulation Supplement，DFARS）規則變更，將於2025年初至中期發布，並以合約方式實施CMMC計畫；一旦DFARS規則生效，國防部便會在招標和合約納入CMMC要求，作為簽訂合約的條件，相關需要處理、儲存或傳輸聯邦合約資訊或受控未分類資訊的承包商，都必須取得相對應的CMMC認證級別。