網路安全成熟度模型認證 (CMMC)

CMMC 2.0 是國防部 CMMC 網路安全模型的下一次反覆運作。它將要求簡化為三個等級的網路安全 (基礎、進階和專家)，並將每個等級的要求與非常知名且廣泛接受的 NIST 網路安全標準保持一致。

2021 年 12 月 3 日，美國國防部 (DoD) 發佈了 CMMC 2.0 模型概觀。CMMC 2.0 模型包含聯邦採購條例 (FAR) 52.204-21 中指定的 FCI 基本保障要求和 NIST SP 800-171r2 中根據國防聯邦採購條例補編 (DFARS) 條款 252.204-7012 對 CUI 的安全要求。

• CMMC 1 級 (基礎) 僅適用於設置有 FCI 的公司；資訊需要保護，但對國家安全並不重要；需要 17 項基本保護措施；CMMC 1 級範圍界定指南
• CMMC 2 級 (進階) 適用於設置有 CUI 的公司；需要 NIST SP 800-171r2 中的 110 項實務；可能需要第三方或自我評估，具體取決於資訊類型；CMMC 2 級範圍界定指南
• CMMC 3 級 (專家) 用於設置有 CUI 的最高優先級計劃；使用 NIST SP 800-172 的子集；將由政府官員進行評估。

網路安全是國防部的首要考量。

國防工業基地 (DIB) 是日益頻繁和複雜的網路攻擊的目標。為了保護美國人的獨創性和國家安全資訊，國防部開發了 CMMC 2.0 以動態增強 DIB 網路安全，以應對不斷變化的威脅並保護資訊。

一旦 CMMC 完全實作，作為授予合約的條件，某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。

國防部表示，在 CMMC 2.0 規則制定程序完成之前，它不打算核准在任何合約中包含 CMMC 要求。 國防部估計該程序的完成時間為 2021 年 11 月起的 9-24 個月。

一旦實作 CMMC 2.0，國防部將在招標和任何資訊請求 (RFI) 中指定所需的 CMMC 等級 (如果使用)。

國防部供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們按照國防聯邦採購條例補編 (DFARS)、國防部遠端運算安全要求指南 (SRG)、聯邦政府風險與授權管理計劃和其他的聯邦合規計劃，充分利用 AWS 建立安全的雲端環境，來處理、維護和儲存美國聯邦政府資料。

您可以檢閱案例研究，了解 AWS 如何為國防部提供協助，包括美國國防後勤局、美國空軍、美國海軍，和美國特種作戰司令部，以及國防部承包商，例如 Lockheed Martin、Raytheon 和 GDIT。如需有關 AWS 如何滿足國防部高安全性要求的詳細資訊，請參閱國防雲端運算網頁。

臨時 DFARS 規則建立了一個五年的逐步實施期，在此期間，僅在選定的試驗合約中才需要 CMMC 合規性，並獲得負責收購和維持事務的副部長辦公室 (OUSD(A&S)) 的核准。國防部表示，在 CMMC 2.0 規則制定程序完成之前，它不打算核准在任何合約中包含 CMMC 要求。

一旦透過規則制定將 CMMC 2.0 編纂成法典，國防部將要求公司遵守修訂後的 CMMC 2.0 架構。

否。CMMC 衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 等級要求作比較)。

作為雲端服務供應商 (CSP)，AWS 在 FedRAMP High 上獲得了 FedRAMP 的授權，在 SRG Impact 等級 2、4 和 5 上獲得了國防資訊系統局 (DISA) 的授權。

否。國防部尚未定義其他合規計劃 (例如 FedRAMP 或 ISO 27001 資訊安全管理) 將如何映射至 CMMC 2.0 等級。

AWS CMMC 客戶套件提供了 CMMC 2 級/NIST SP 800-171 安全控制的明細，客戶可以透過使用 AWS GovCloud (美國) 中的 AWS 登陸區域加速器從 AWS 繼承這些安全控制。

該 AWS CMMC 客戶套件可同時在 AWS 標準和 AWS GovCloud (美國) 區域的 AWS Artifact 中供客戶下載。

是。AWS Professional Services 顧問接受了 AWS GovCloud (美國) AWS 登陸區域加速器方面的培訓，並且能夠為客戶實作提供支援，應對 CMMC 合規性挑戰。

AWS 擬根據客戶的業務和國防部計劃與合約的要求，在標準和受限區域 (美國東部/西部、AWS GovCloud (美國) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 2.0 解決方案。