標準簡介
網路安全成熟度模型認證(CMMC)2.0 是美國國防部的一項計畫,用於驗證國防承包商和分包商的網路安全實踐。該最終規則於 2024 年 12 月生效,建立了三個成熟度級別,以保護國防工業基礎中的聯邦合約資訊(FCI)和受控非機密資訊(CUI)。
CMMC 2.0 與 NIST SP 800-171 要求緊密對齊,並對處理敏感 CUI 的承包商引入強制性第三方評估。隨著 2025 年 11 月起分階段執行,預計超過 22 萬家國防承包商必須取得相應認證級別,以維持 DoD 合約資格。
三個成熟度等級
從五級簡化為三級:1 級(基礎級,17 項實踐)、2 級(進階,110 項實踐,與 NIST SP 800-171 對齊)以及 3 級(專家級,NIST SP 800-172 控制)。
第三方評鑑
2 級要求由認證第三方評鑑機構(C3PAO)評鑑,而 1 級允許每年自我評鑑。3 級要求政府主導的評鑑。
CUI 保護
專門用於保護國防工業基地供應鏈中的受控非機密資訊(CUI)和聯邦合約資訊(FCI)。
list_alt CMMC 領域
- 存取控制——限制授權使用者的系統存取
- 識別與認證——驗證使用者身分
- 媒體保護——保護數位和實體媒體上的 CUI
- 實體保護——限制對系統的實體存取
- 系統與通訊保護——監控和保護通訊
- 系統與資訊完整性——識別和管理缺陷
- 事件回應——建立作業性事件處理
- 風險評估——識別和評估對 CUI 的風險
誰需要合規?
作為國防部合約的一部分,處理、儲存或傳輸聯邦合約資訊(FCI)或受控非機密資訊(CUI)的美國國防工業基地(DIB)中所有承包商和分包商。
關鍵要求
自我評鑑(1 級)
對照 FAR 52.204-21 中的 17 項基本保障要求完成年度自我評鑑。透過供應商績效風險系統(SPRS)確認合規。
NIST SP 800-171 合規(2 級)
實施 NIST SP 800-171 Rev 2 中的全部 110 項安全要求。接受 C3PAO 評鑑並取得合格分數。維護系統安全計畫(SSP)和行動計畫與里程碑(POA&M)。
行動計畫與里程碑
以具體的補救計畫、責任方和目標完成日期記錄任何未滿足的要求。POA&M 必須在評鑑後 180 天內解決。
持續合規確認
資深主管必須每年在 SPRS 中確認其組織的持續合規狀態。認證有效期為三年,需每年確認。
實施路線圖
準備範圍、資料类型和等級
識別處理 FCI 或 CUI 的合約、條款、系統、供應商和隔離環境。确定所需 CMMC 等級,定義評估邊界,指定高階責任人,并建立 SPRS 評分和聲明的管理方式。
按所需實務做差距分析
針對 FCI 評估 Level 1 實務,或針對 CUI 環境評估 NIST SP 800-171 的 110 项要求。建立或更新系統安全計畫,計算 SPRS 分数,識別未满足要求,并判斷哪些差距可进入 POA&M。
實施保護措施并準備評估
整改存取控制、MFA、日誌、弱點管理、介质保護、事件回應和組態管理等重点差距。收集客觀證據,培訓控制負責人,按要求關閉 POA&M 项,并安排自評或 C3PAO 評估。
稽核、聲明并維護資格
在 SPRS 中提交評估結果和必要聲明,在評估週期之间維護證據,并監控接收 CUI 的供應商。重大架構、合約或邊界變化后重新評估,并按計畫推进 POA&M 整改。
合規檢查清單
checklist 範圍与評估準備
checklist 控制与證據
checklist 報告与維護
CMMC 等級概览
等級取決於承包商處理的 DoD 資訊类型和敏感性。
| 面向 | Level 1 | Level 2 | Level 3 |
|---|---|---|---|
| 資訊类型 | FCI | CUI | 高優先级 CUI |
| 控制基礎 | FAR 52.204-21 基礎保護 | NIST SP 800-171 要求 | 选定的 NIST SP 800-172 增強要求 |
| 評估模式 | 年度自評 | 按合約要求自評或 C3PAO 認證 | 政府主导評估 |
| 典型證據 | 政策、截图和實務證據 | SSP、客觀證據、SPRS 分数和評估結果 | Level 2 認證加增強保護證據 |
常見誤區
CMMC 只是 IT 部门專案。
CMMC 涉及合約、法律陳述、供應商流转、工程、设施、HR 和高層聲明,不只是技术控制。
POA&M 可以覆盖任何缺失要求。
只有合格專案可以放入 POA&M,高价值保護措施必須在認證或条件狀態前實施。
分包商会自动被主承包商認證覆盖。
接收 FCI 或 CUI 的分包商必須在自己的環境和合約流转範圍内满足適用要求。
處罰與執行
未達到所需 CMMC 等級的承包商無資格獲得國防部合約授予。虛假合規聲明使承包商面臨《虛假申報法》下的責任,處罰可達政府損失的三倍加上每次索賠罰款。
常見問題解答
谁必須遵守 CMMC?
expand_more
CMMC 適用於在 DoD 合約下處理聯邦合約資訊(FCI)或受控非密資訊(CUI)的国防工业基礎承包商和分包商。所需等級取決於資訊敏感性和合約要求。
CMMC 三个等級是什么?
expand_more
Level 1 覆盖 FCI 的基礎保護。Level 2 對齊保護 CUI 的 NIST SP 800-171 110 项要求,并视合約要求進行自評或 C3PAO 認證。Level 3 針對更高風險 CUI 專案新增增強保護,并由政府評估。
FCI 和 CUI 有什么区别?
expand_more
FCI 是政府根據合約提供或为政府生成的非公开資訊。CUI 是依法規、规章或政府统一政策需要保護或传播控制的資訊。CUI 通常触发更严格的 Level 2 要求。
SSP 是什么?
expand_more
系統安全計畫描述系統邊界、環境、責任角色以及每项安全要求如何實施。对于 CMMC Level 2,清晰且最新的 SSP 是自評和 C3PAO 評估的關鍵證據。
CMMC 可以使用 POA&M 吗?
expand_more
在特定条件下,部分未满足要求可以有限使用 POA&M,但某些高价值要求必須在获得条件狀態前完全满足。POA&M 项必須在允许期限内整改,通常为 180 天。
CMMC 認證有效期多久?
expand_more
CMMC 認證通常有效三年,但組織必須提交年度聲明并持續保持合規。系統、邊界或合約發生重大變化时,可能需要重新評估或更新證據。
CMMC 与 NIST SP 800-171 有什么關係?
expand_more
CMMC Level 2 建立在 NIST SP 800-171 的 110 项安全要求之上。CMMC 新增評估、評分、聲明和合約执行机制,使 DoD 能验证承包商是否保護 CUI。
如果承包商虛假聲稱合規会怎样?
expand_more
虛假或无證據支援的網路安全陳述会带来合約風險,并可能触发《虛假申報法》責任。組織应确保評估、SPRS 記錄、高層聲明和實際控制環境一致。