網路安全成熟度模型認證 (CMMC)

概觀

• 什麼是 CMMC？

  CMMC 是指「網路安全成熟度模型認證」。 CMMC 涵蓋從「基本網路安全衛生」到「進階/漸進」的多個成熟度級別。 每個成熟度級別包括日益嚴格的程序和實務要求，以獲得認證。DoD 合約將定義要求的 CMMC 級別；級別 1 - 保護聯邦合約資訊 (FCI)、級別 2 - 過渡以保護受控非機密資訊 (CUI)、級別 3 - 保護 CUI、級別 4 和 5 - 保護 CUI 並降低進階持續威脅 (APT) 的風險。造訪 CMMC 網站以了解詳細資訊。
  

• 為什麼要實作 CMMC？

  DoD 正在過渡至新的 CMMC 框架，以防止盜竊 DoD 敏感資訊和智慧財產權。CMMC 框架將評估和增強國防產業基地 (DIB) 供應鏈的網路安全，並確定設置適當的網路安全實務和程序。
  

• 誰需要獲得 CMMC 認證？

  DoD 估計，超過 300,000 個 DIB 組織將需要對 CMMC 五個級別之一進行評定和認證。這包括主要承包商、分包商，通常包括向 DoD 銷售產品或提供服務的所有組織。CMMC 級別要求將透過 DoD 合約單獨發佈。
  

• DoD 何時實作 CMMC 要求？

  DoD 將從 2021 年 4 月開始，逐步增加對 DoD 徵求建議書 (RFP) 和合約的 CMMC 要求，並計劃於 2026 年全面實施。DoD 已經確定了 15 個初始採購專案，稱為「試點專案」，以便參與 CMMC 的初始部署。在接下來的五年中，CMMC 要求將不斷加速納入新的 DoD 合約中，到 2026 年，幾乎所有新的 DoD 合約都將包含 CMMC 要求。
  

• 目前有 DoD 供應鏈成員在使用 AWS 嗎？

  DoD 供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們將按照國防聯邦採購條例補充 (DFARS)、DoD 雲端運算安全要求指南 (SRG)、聯邦風險與授權管理計劃 (FedRAMP) 及其他聯邦合規計劃的要求，充分利用 AWS 建立安全的雲端環境，來處理、維護和存放美國聯邦政府資料。

  您可以檢閱案例研究，了解 AWS 如何為 DoD 提供協助，包括美國國防後勤局、美國空軍、美國海軍和美國特種作戰司令部，以及 DoD 承包商，例如 Lockheed Martin、Raytheon和 GDIT。如需有關 AWS 如何滿足 DoD 高安全性要求的詳細資訊，請參閱國防雲端計算網頁。
  

• 新的 DoD「臨時規則」對我的組織有何影響？

  DoD 於 2020 年 9 月 29 日發佈了一項「臨時規則」，確立了三項新的 DFAR 要求，於 2020 年 11 月 30 日生效，並在 DFARS 要求 252.204-7012，保護涵蓋的國防資訊和網路事件報告的基礎上進行擴展。「臨時規則」在初始規則的基礎進行擴展，並確立了三項新的要求︰(1) 每三年強制進行一次自我評定 (DFARS 252.204-7019)，(2) 向 DoD 供應商績效風險系統 (SPRS) (DFARS 252.204-7020) 報告自我評定的結果，以及 (3) 要求 DoD 採購官員在未來的 DoD 採購中包含 DFARS 規則 252.204-7021 和 CMMC 要求。
  

• 我的組織如何獲得認證？

  DoD 將 CMMC 顧問委員會 (CMMC-AB) 作為獨立的組織創建，負責管理 C3PAO、評估人員 DIB 實體的 CMMC 認證程序。C3PAO 評估人員將使用 CMMC 級別作為標準來評估組織。美國國防合約管理局 (DCMA) 宣佈，他們打算從 2021 年 3 月開始將 C3PAO 認證為 CMMC 3 級認證。CMMC-AB 維護 CMMC Marketplace，其在 https://cmmcab.org/marketplace/ 上確定 C3PAO。
  

• AWS CMMC 是否通過認證？

  AWS 已完成由獨立第三方評定組織 (3PAO) 進行的 NIST SP 800-171 評定，並實施了 SP 800-171 中的所有 110 項控制。AWS 已委派 C3PAO 進行 CMMC 評定，並在等待其 C3PAO 獲得 DCMA 的「認證」。
  

• 雲端服務是否需要通過 CMMC 認證？

  否。CMMC 是一項認證，用於衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 級別要求作比較)。
  

• AWS 是否與其他合規計劃一起提供 CMMC 互惠協議？

  否。OUSD(A&S) 尚未定義其他合規計劃 (例如 FedRAMP、ISO 27001 資訊安全管理，或國防工業基地網路安全評定中心 (DIBCAC) 評定) 如何對應到國防部「臨時規則」或 CMMC 1.02 版。OUSD(A&S) 宣佈有意與 CMMC 2.0 版中的其他合規計劃建立互惠性。
  

• AWS 是否提供解決方案和合規文件來協助進行 CMMC 認證？

  AWS 正在與 DoD 和 CMMC-AB 開展合作，以解決 CMMC 需求並開發解決方案來協助客戶加速其部署和認證。2020 年 12 月 22 日，AWS 在 AWS GovCloud (US) 發佈了 聯邦和 DoD 工作負載合規框架，協助客戶部署基本 AWS 基礎架構，以在 AWS GovCloud (US) 區域支援自動、安全、可擴展、以 AWS 最佳實務為基礎的多帳戶環境。該解決方案旨在滿足 DoD 對 CMMC 以及 DoD 雲端運算安全要求指南 (CC SRG) 影響級別 (IL) 4和 IL 5 工作負載在雲端中規定的要求。 
  

  如需 AWS CMMC 合規文件及存取方法的詳細資訊，請聯絡您的 AWS 帳戶經理或 聯絡我們。
  

  AWS CMMC 客戶責任矩陣 (CRM) 提供了 CMMC 實務的明細，客戶可以使用 AWS GovCloud (US) 中的聯邦和國防部工作負載的 AWS 相容架構從 AWS 繼承這些實務。  

  AWS CMMC CRM 確定了特定的 CMMC 實務，這些實務是 AWS 的責任，也是 CMMC 的尋求合規組織 (OSC) 的責任。

  AWS CMMC CRM 包含在 AWS CMMC 客戶套件中；也包含 AWS 東部/西部和 GovCloud 高層簡報及 CMMC 控制實作摘要 (CIS)。  此套件可同時在 AWS 標準和 AWS GovCloud (US) 區域的 AWS Artifact 中供客戶下載。
  

• AWS 專業服務是否支援客戶滿足其 CMMC 合規要求？

  是。AWS Professional Services 顧問接受了 AWS GovCloud (US) 聯邦和 DoD 工作負載合規性框架方面的培訓，並且能夠為客戶實作提供支援，應對 CMMC 合規性挑戰。
  

• 我應使用哪個 AWS 區域來部署我們的 CMMC 雲端環境？

  AWS 擬根據客戶的業務和 DoD 計劃與合約的要求，在標準和受限區域 (美國東部/西部、AWS GovCloud (US) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 解決方案。