隨著美中關係惡化,台海情勢越加緊張,美國對台灣國防工業的關注也將越來越顯著。從烏克蘭戰爭中我們可以看到,優秀的軍工製造生產力,是國防安全的關鍵骨幹。嗅覺敏銳的台商早已感知潛在商機,紛紛詢問問萬弘是否能提供相關協助。萬弘資訊顧問團隊針對投入美國軍工生產鏈的台商們,提供「網路安全成熟度認證」 (Cybersecurity Maturity Model Certification, CMMC)導入服務。
什麼是CMMC?
美國國防部2021年推出CMMC 2.0計畫,用以評鑑美國防部承包商(包括外國供應商、分包商)在網安防護能力。
如何導入CMMC?
Step 1:釐清需要通過哪一個等級。
CMMC共分為Level 1 ~ Level 3適用不同涉密等級的承包商。美國聯邦政府採購法將資訊分為以下幾類:
- 聯邦合約資訊(Federal Contract Information, FCI)指所有未標記為公開的資訊,這些數據必須接受最基本網路安全要求約束。
- 列管非機密資訊 (Controlled Unclassified Information, CUI),包括所有需要保護或傳播控制(在法律上不能公開)的資訊,這些資訊被認為不夠敏感,無法要求高級安全級別訪問權限,因此被列為非機密,如法律文件、健康文件、技術圖紙和藍圖、智慧財產權、ITAR控制檔/產品等。
Level 1:適用於提供一般用品和服務的企業,不涉及處理CUI,而側重於保護FCI的企業產品或服務。
Level 2:企業所提供服務或產品,涉及CUI。
Level 3:所涉及資訊被列為重要國防項目。
Step 2:依照自身需要進行導入工作。
Level 1:須符合FAR 52.204-21之17條要求。
Level 2:須符合NIST 800-171所有要求。
Level 3:須符合NIST 800-172所有要求。
Step 3:自評/申請第三方認證。
Level 1:每年自評乙次。需提交報告與證明文件,供美國防部進行供應商評鑑。
Level 2:未涉國防安全之CUI每年自評乙次;涉及者,由美國防部所指定之認證機構CMMC Accreditation Body (The Cyber AB)所核定之CMMC Third Party Assessment Organizations (C3PAOs)執行第三方稽核驗證。
Level 3:由美國防部另定稽核方案。
導入CMMC時程?導入CMMC需要多少時間?
依據現有ISMS實做完整度,需時3~7個月。
導入CMMC成本?
Level 1:25~50萬。
Level 2:30~70萬。
Level 3:50~120萬。