清流雙月刊 NO.32

35 No.32 MAR. 2021 中等防護 （Intermediate） 良好防護 （Good） 主動防護 （Proactive） 進階防護 （Advanced） 公司必須使用防毒軟體 或確保員工定期更改密 碼，以保護「聯邦合同 資訊」（FCI） 美國法規要求保護或傳 播措施之任何資訊，即 保護「受控非機敏資訊」 （CUI） 公司必須制定制度 化的管理計劃，以 保護CUI 公司必須實施審查與評 估有效性流程，並強化 作法防範「進階持續性 威脅」（APT） 公司必須採用標準化和 優化流程及其他強化資 訊安全作法，以能回應 APT攻擊 基礎防護 （Basic） 圖 1 CMMC 的 5 項認證級別 級別 3 ： 良好防護（ Good ） ─增加 CUI 之 保護。公司必須制定制度化的管 理計劃，以保護 CUI ，包括所有 NIST 800-171 r2 安全要求以及附 加標準。 級別 4 ： 主動防護（ Proactive ） ─能防範 「進階持續性威脅」（ advanced persistent threats ，下稱 APT ）。 APT 被定義為具有先進水平的專 業知識和大量資源的對手，對手 會使用多種媒介攻擊。公司必須 實施審查與評估有效性之流程， 並且建立其他強化作法，可以檢 測並回應不斷變化的策略、技術 和程序以及持續性的先進威脅。 級別 5 ： 進階防護（ Advanced ） ─具備檢 測和回應 APT 攻擊之優化流程。 公司必須在整個組織中採用標準 化和優化的流程，以及其他強化 資訊安全作法，以能夠回應 APT 攻擊等更為複雜的功能。 美國國防部強調， CMMC 為改變國 防單位承包商內部網路安全文化（ cyber- security culture ）的開始，並需要對於不 斷發展的威脅進行準備，而非僅是獲得 CMMC 的認證。國防部門的承包單位除要 獲得 CMMC 的認證外，還得在組織內培養 靈活性的網路安全文化，以確保在市場上 獲得更佳競爭力。 放眼國際