網路安全成熟度模型認證 (CMMC)

概觀

美國國防部 (DoD) 負責收購和維持事務的副部長辦公室 (OUSD) 正在實作 CMMC,作為一種機制來保護 DoD 智慧財產權和敏感資訊免受網路安全事件的影響,使主要承包商和分包商免受侵害。CMMC 專注於 DoD 外部供應鏈的安全性和彈性,包括國防產業基地 (DIB) 成員,引入了組織必須擁有第三方評估機構認證才能競爭大多數 DoD 合約的領域、實務和程序分級要求。AWS 可讓國防承包商建立符合 CMMC 要求的環境,來處理、維護和存放 DoD 資料。

  • 什麼是 CMMC?

    CMMC 是指「網路安全成熟度模型認證」。 CMMC 涵蓋從「基本網路安全衛生」到「進階/漸進」的多個成熟度級別。 每個成熟度級別包括日益嚴格的程序和實務要求,以獲得認證。DoD 合約將定義要求的 CMMC 級別;級別 1 - 保護聯邦合約資訊 (FCI)、級別 2 - 過渡以保護受控非機密資訊 (CUI)、級別 3 - 保護 CUI、級別 4 和 5 - 保護 CUI 並降低進階持續威脅 (APT) 的風險。造訪 CMMC 網站以了解詳細資訊。

  • 為什麼要實作 CMMC?

    DoD 正在過渡至新的 CMMC 框架,以防止盜竊 DoD 敏感資訊和智慧財產權。CMMC 框架將評估和增強國防產業基地 (DIB) 供應鏈的網路安全,並確定設置適當的網路安全實務和程序。

  • 誰需要獲得 CMMC 認證?

    DoD 估計,超過 300,000 個 DIB 組織將需要對 CMMC 五個級別之一進行評定和認證。這包括主要承包商、分包商,通常包括向 DoD 銷售產品或提供服務的所有組織。CMMC 級別要求將透過 DoD 合約單獨發佈。

  • DoD 何時實作 CMMC 要求?

    DoD 將從 2021 年 4 月開始,逐步增加對 DoD 徵求建議書 (RFP) 和合約的 CMMC 要求,並計劃於 2026 年全面實施。DoD 已經確定了 15 個初始採購專案,稱為「試點專案」,以便參與 CMMC 的初始部署。在接下來的五年中,CMMC 要求將不斷加速納入新的 DoD 合約中,到 2026 年,幾乎所有新的 DoD 合約都將包含 CMMC 要求。

  • 目前有 DoD 供應鏈成員在使用 AWS 嗎?

    DoD 供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們將按照國防聯邦採購條例補充 (DFARS)、DoD 雲端運算安全要求指南 (SRG)、聯邦風險與授權管理計劃 (FedRAMP) 及其他聯邦合規計劃的要求,充分利用 AWS 建立安全的雲端環境,來處理、維護和存放美國聯邦政府資料。

    您可以檢閱案例研究,了解 AWS 如何為 DoD 提供協助,包括美國國防後勤局美國空軍美國海軍美國特種作戰司令部,以及 DoD 承包商,例如 Lockheed MartinRaytheonGDIT。如需有關 AWS 如何滿足 DoD 高安全性要求的詳細資訊,請參閱國防雲端計算網頁。

  • 新的 DoD「臨時規則」對我的組織有何影響?

    DoD 於 2020 年 9 月 29 日發佈了一項「臨時規則」,確立了三項新的 DFAR 要求,於 2020 年 11 月 30 日生效,並在 DFARS 要求 252.204-7012,保護涵蓋的國防資訊和網路事件報告的基礎上進行擴展。「臨時規則」在初始規則的基礎進行擴展,並確立了三項新的要求︰(1) 每三年強制進行一次自我評定 (DFARS 252.204-7019),(2) 向 DoD 供應商績效風險系統 (SPRS) (DFARS 252.204-7020) 報告自我評定的結果,以及 (3) 要求 DoD 採購官員在未來的 DoD 採購中包含 DFARS 規則 252.204-7021 和 CMMC 要求。

  • 我的組織如何獲得認證?

    DoD 將 CMMC 顧問委員會 (CMMC-AB) 作為獨立的組織創建,負責管理 C3PAO、評估人員 DIB 實體的 CMMC 認證程序。C3PAO 評估人員將使用 CMMC 級別作為標準來評估組織。美國國防合約管理局 (DCMA) 宣佈,他們打算從 2021 年 3 月開始將 C3PAO 認證為 CMMC 3 級認證。CMMC-AB 維護 CMMC Marketplace,其在 https://cmmcab.org/marketplace/ 上確定 C3PAO。

  • AWS CMMC 是否通過認證?

    AWS 已完成由獨立第三方評定組織 (3PAO) 進行的 NIST SP 800-171 評定,並實施了 SP 800-171 中的所有 110 項控制。AWS 已委派 C3PAO 進行 CMMC 評定,並在等待其 C3PAO 獲得 DCMA 的「認證」。

  • 雲端服務是否需要通過 CMMC 認證?

    否。CMMC 是一項認證,用於衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 級別要求作比較)。

  • AWS 是否與其他合規計劃一起提供 CMMC 互惠協議?

    否。OUSD(A&S) 尚未定義其他合規計劃 (例如 FedRAMP、ISO 27001 資訊安全管理,或國防工業基地網路安全評定中心 (DIBCAC) 評定) 如何對應到國防部「臨時規則」或 CMMC 1.02 版。OUSD(A&S) 宣佈有意與 CMMC 2.0 版中的其他合規計劃建立互惠性。

  • AWS 是否提供解決方案和合規文件來協助進行 CMMC 認證?

    AWS 正在與 DoD 和 CMMC-AB 開展合作,以解決 CMMC 需求並開發解決方案來協助客戶加速其部署和認證。2020 年 12 月 22 日,AWS 在 AWS GovCloud (US) 發佈了 聯邦和 DoD 工作負載合規框架,協助客戶部署基本 AWS 基礎架構,以在 AWS GovCloud (US) 區域支援自動、安全、可擴展、以 AWS 最佳實務為基礎的多帳戶環境。該解決方案旨在滿足 DoD 對 CMMC 以及 DoD 雲端運算安全要求指南 (CC SRG) 影響級別 (IL) 4和 IL 5 工作負載在雲端中規定的要求。 

    如需 AWS CMMC 合規文件及存取方法的詳細資訊,請聯絡您的 AWS 帳戶經理或 聯絡我們

  • AWS 專業服務是否支援客戶滿足其 CMMC 合規要求?

    是。AWS Professional Services 顧問接受了 AWS GovCloud (US) 聯邦和 DoD 工作負載合規性框架方面的培訓,並且能夠為客戶實作提供支援,應對 CMMC 合規性挑戰。

  • 我應使用哪個 AWS 區域來部署我們的 CMMC 雲端環境?

    AWS 擬根據客戶的業務和 DoD 計劃與合約的要求,在標準和受限區域 (美國東部/西部、AWS GovCloud (US) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 解決方案。

如果您有 CMMC 或 DoD 合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »