網路安全成熟度模型認證 (CMMC)

概觀

• 什麼是 CMMC？

  CMMC 是指「網路安全成熟度模型認證」。 CMMC 涵蓋從「基本網路安全衛生」到「進階/漸進」的多個成熟度級別。 每個成熟度級別包括日益嚴格的程序和實務要求，以獲得認證。DoD 合約將定義要求的 CMMC 級別；級別 1 - 保護聯邦合約資訊 (FCI)、級別 2 - 過渡以保護受控非機密資訊 (CUI)、級別 3 - 保護 CUI、級別 4 和 5 - 保護 CUI 並降低進階持續威脅 (APT) 的風險。造訪 CMMC 網站以了解詳細資訊。
  

• 為什麼要實作 CMMC？

  DoD 正在過渡至新的 CMMC 框架，以防止盜竊 DoD 敏感資訊和智慧財產權。CMMC 框架將評估和增強國防產業基地 (DIB) 供應鏈的網路安全，並確定設置適當的網路安全實務和程序。
  

• 誰需要獲得 CMMC 認證？

  DoD 估計，超過 300,000 個 DIB 組織將需要對 CMMC 五個級別之一進行評定和認證。這包括主要承包商、分包商，通常包括向 DoD 銷售產品或提供服務的所有組織。CMMC 級別要求將透過 DoD 合約單獨發佈。
  

• DoD 何時實作 CMMC 要求？

  DoD 將從 2021 年 4 月開始，逐步增加對 DoD 徵求建議書 (RFP) 和合約的 CMMC 要求，並計劃於 2026 年全面實施。DoD 已經確定了 15 個初始採購專案，稱為「試點專案」，以便參與 CMMC 的初始部署。在接下來的五年中，CMMC 要求將不斷加速納入新的 DoD 合約中，到 2026 年，幾乎所有新的 DoD 合約都將包含 CMMC 要求。
  

• 目前有 DoD 供應鏈成員在使用 AWS 嗎？

  DoD 供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們將按照國防聯邦採購條例補充 (DFARS)、DoD 雲端運算安全要求指南 (SRG)、聯邦風險與授權管理計劃 (FedRAMP) 及其他聯邦合規計劃的要求，充分利用 AWS 建立安全的雲端環境，來處理、維護和存放美國聯邦政府資料。

  您可以檢閱案例研究，了解 AWS 如何為 DoD 提供協助，包括美國國防後勤局、美國空軍、美國海軍和美國特種作戰司令部，以及 DoD 承包商，例如 Lockheed Martin、Raytheon和 GDIT。如需有關 AWS 如何滿足 DoD 高安全性要求的詳細資訊，請參閱國防雲端計算網頁。
  

• 新的 DoD「臨時規則」對我的組織有何影響？

  DoD 於 2020 年 9 月 29 日發佈了一項「臨時規則」，確立了三項新的 DFAR 要求，於 2020 年 11 月 30 日生效，並在 DFARS 要求 252.204-7012，保護涵蓋的國防資訊和網路事件報告的基礎上進行擴展。「臨時規則」在初始規則的基礎進行擴展，並確立了三項新的要求︰(1) 每三年強制進行一次自我評定 (DFARS 252.204-7019)，(2) 向 DoD 供應商績效風險系統 (SPRS) (DFARS 252.204-7020) 報告自我評定的結果，以及 (3) 要求 DoD 採購官員在未來的 DoD 採購中包含 DFARS 規則 252.204-7021 和 CMMC 要求。
  

• 我的組織如何獲得認證？

  DoD 將 CMMC 顧問委員會 (CMMC-AB) 作為獨立的組織創建，負責管理 C3PAO、評估人員 DIB 實體的 CMMC 認證程序。C3PAO 評估人員將使用 CMMC 級別作為標準來評估組織。美國國防合約管理局 (DCMA) 宣佈，他們打算從 2021 年 3 月開始將 C3PAO 認證為 CMMC 3 級認證。CMMC-AB 維護 CMMC Marketplace，其在 https://cmmcab.org/marketplace/ 上確定 C3PAO。
  

• AWS CMMC 是否通過認證？

  AWS 已完成由獨立第三方評定組織 (3PAO) 進行的 NIST SP 800-171 評定，並實施了 SP 800-171 中的所有 110 項控制。AWS 已委派 C3PAO 進行 CMMC 評定，並在等待其 C3PAO 獲得 DCMA 的「認證」。
  

• 雲端服務是否需要通過 CMMC 認證？

  否。CMMC 是一項認證，用於衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 級別要求作比較)。
  

• AWS 是否與其他合規計劃一起提供 CMMC 互惠協議？

  否。OUSD(A&S) 尚未定義其他合規計劃 (例如 FedRAMP、ISO 27001 資訊安全管理，或國防工業基地網路安全評定中心 (DIBCAC) 評定) 如何對應到國防部「臨時規則」或 CMMC 1.02 版。OUSD(A&S) 宣佈有意與 CMMC 2.0 版中的其他合規計劃建立互惠性。
  

• AWS 是否提供解決方案和合規文件來協助進行 CMMC 認證？

  AWS 正在與 DoD 和 CMMC-AB 開展合作，以解決 CMMC 需求並開發解決方案來協助客戶加速其部署和認證。2020 年 12 月 22 日，AWS 在 AWS GovCloud (US) 發佈了 聯邦和 DoD 工作負載合規框架，協助客戶部署基本 AWS 基礎架構，以在 AWS GovCloud (US) 區域支援自動、安全、可擴展、以 AWS 最佳實務為基礎的多帳戶環境。該解決方案旨在滿足 DoD 對 CMMC 以及 DoD 雲端運算安全要求指南 (CC SRG) 影響級別 (IL) 4和 IL 5 工作負載在雲端中規定的要求。 
  

  如需 AWS CMMC 合規文件及存取方法的詳細資訊，請聯絡您的 AWS 帳戶經理或 聯絡我們。
  

• AWS 專業服務是否支援客戶滿足其 CMMC 合規要求？

  是。AWS Professional Services 顧問接受了 AWS GovCloud (US) 聯邦和 DoD 工作負載合規性框架方面的培訓，並且能夠為客戶實作提供支援，應對 CMMC 合規性挑戰。
  

• 我應使用哪個 AWS 區域來部署我們的 CMMC 雲端環境？

  AWS 擬根據客戶的業務和 DoD 計劃與合約的要求，在標準和受限區域 (美國東部/西部、AWS GovCloud (US) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 解決方案。