美国国防部将开始要求承包商必须具备网络安全认证

美国国防部在上周宣布，在今年9月底前，该部门将会要求部分竞标国防部合约的承包商具备网络安全认证，此一认证将奠基在国防部所发表的《网络安全成熟度模型认证 1.0 》（Cybersecurity Maturity Model Certification，CMMC），承包商必须依据专案的机密性，而取得不同等级的安全认证。

目前美国国防部将CMMC分为五个等级，从第一等级的基本网络防护（Basic）、中等网络防护（Intermediate）、良好网络防护（Good）、主动防护（Proactive），到第五等级的进阶防护（Advanced）。

负责采购业务的国防部副部长Ellen Lord指出，网络安全风险威胁了美国-及合作伙伴的国防产业与国家安全，每年全球因网络窃盗所损失的金额高达6千亿美元；在现今大国的竞争环境中，不管是资讯或技术都是重要的基石，而且对骇客而言，攻击第二线的供应商比攻击一线供应商更有吸引力，而CMMC则将同时规范第一线与第二线供应商的网络安全准备度。

该部门的资讯安全长Katie Arrington则说，其实第一等级的基本网络防护很容易就可达到，像是询问合约商是否部署或定期更新防毒软件，是否定期更新密码等问题；第二等级的防护则会另外注重承包商的网络安全程序，确定承包商有效地纪录、管理、审查及最佳化其网络安全部署。

未来国防部在承包商提案以竞标该单位的专案时，都会提出相关的要求，并根据专案的需求而采取不同等级的CMMC认证，相关的认证将由独立的第三方负责进行。

依照美国国防部的规划，在今年6月底前，该部门就会公布包含CMMC认证在内的合约，9月底前即会公布包含CMMC认证在内的专案，而到了2026年，美国国防部的所有新合约都将包含CMMC认证要求。