參、美國新版 CMMC 2.0 最新發展
2023.09.15
瀏覽數
2241
摘要
整個CMMC圍繞著國防採購合約制度,對於「受控非具分類保密等級資訊」(Controlled Unclassified Information,CUI)的範圍認定,除了由國防供應鏈廠商界定純粹自己產出的資訊外,其餘多由採購合約甲方,亦即由國防合約管理局會同作需單位予以界定。2022年10月25日起CMMC的3個驗證等級不再刻意區別為基礎、進階與專家等級,第一級管制可以採自我認證、第二級管制可以自檢兼採第三方認證、第三級管制則政府部門認證。
其他國家引進CMMC時,往往面臨以下問題:對CMMC法規及標準的遵循無所適從、面臨CUI如何界定的問題、如何在國內取得CMMC的合規性輔導及認驗證的問題、各國國內的合規性輔導是否符合美國Cyber AB及C3PAO的發證要求(台美認驗證對接 )的課題、中小企業面臨合規成本太高的挑戰、取得CMMC認證之優勢廠商如何爭取美國國防合約或國際訂單的難題。
台灣落地推展CMMC則可以從以下三個層面來思考。首先,在組織架構方面,需釐清主責單位、協辦單位、生態系統(認驗證機構、輔導公司、訓練單位)。其次,在法規採納面向,包括供應鏈安全政策、採購法、檔案法、國防產業發展條例、國防採購契約等。最後,在推動策略方面,可考量選項包括自建對接、引進導入、台美合作、企業補助、示範性驗證等。
關鍵字:供應鏈網路安全認證、CMMC、國防合約管理