清流雙月刊 NO.32

33 No.32 MAR. 2021 對承包商 美國 網路安全 認證 ◆ 實踐大學副教授 ─ 蔡裕明 之 美國國防部於 2020 年 2 月宣布，要求競標國防部合約的承包商，需符合《網路 安全成熟度認證》（ Cybersecurity Maturity Model Certification, CMMC ）資格，且 每 3 年需更新一次認證。未來，廠商必須取得不同等級之安全驗證，才能承包美國 國防部的業務。 CMMC 介紹 CMMC 是美國國防部正在實施於規範 國防工業基礎（ defense industrial base, DIB ）網路安全工作之標準。認證主要目的 是在評估國防部承包商在網路安全領域的 能力，適用於與國防部有直接接觸的主要 承包商、執行合約的分包商和外國供應商。 這將涵蓋國防部 30 萬家承包商。 由於美國每年平均因網路安全損失超 過 6 千億美金，且執行國防部合約的分包 商通常都是小型企業，大部分沒有完善的 網路安全措施；且對駭客而言，攻擊第二 線承包商比攻擊第一線的更具吸引力。由 於承包商數量極多且計畫相當艱鉅，國防 部要求由第三方評估組織來執行 CMMC 認 證，國防部並會對該評估組織進行認證。 放眼國際