1. FIND
  2. 產業趨勢
  3. 網路安全成熟度模型認證(CMMC),帶動民間打入國防產業鏈

網路安全成熟度模型認證(CMMC),帶動民間打入國防產業鏈



 

美國國防部有鑑於駭客活動與威脅與日俱增,加上新興的「供應鏈攻擊」型態,因此制定了「網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)」制度,藉由導入民間IT產業的力量,打入國防產業鏈,同時鞏固國防系統的資安,維持美軍資安技術的先進性、創新性等優勢。

趨勢發展背景

2020年1月,美國國防部「副部長辦公室採購暨後勤處(Office of the Under Secretary of Defense for Acquisition and Sustainment, OUSD(A&S))」,針對國防採購合約中的「受管制、為分類之資訊(Controlled Unclassified Information, CUI)」的安全議題,參酌美國國家標準技術研究所(NIST)的SP800-171、SP800-172標準,建立了分為五級的CMMC 1.0版。

2021年,美國國防部因應國防承包商反映的意見,承包商表示CMMC v1.0的五級框架太複雜、難以滿足國防部的安全規格需求,因此美國國防部再次著手修訂CMMC,並在同年11月發布CMMC 2.0版,從五級簡化為三級,並預計2023年上路實施 (Gray, Martin, & VanEvery, 2022)、2026年成為國防採購案的強制需求 (Lopez, 2020)。

 

 

圖 1 CMMC v1.0五級指標與CMMC v2.0三級指標之對應

資料來源: (U.S. DoD, 2021)

 

產業趨勢說明

依據美國國防產業協會(NDIA)的雜誌《National Defense》在2021年的報導 (Harper, 2020),2020年國防承包商的投入資金高達4,470億美金。另外,根據國防安全研究院指出,美國結合英國、加拿大、澳洲、紐西蘭、日本、南韓等盟邦共同參與CMMC,尤其南韓完全移植美軍CMMC的規格,除了推動南韓國防產業逐步達到美軍採購水準外,甚至還以俄烏戰爭為契機,成功將軍火打入波蘭市場,帶動國防和資安發展的相輔相成。

未來展望/挑戰

有鑑於台灣面臨中國網路攻擊的威脅與日俱增,可謂道高一尺、魔高一丈,現在國內已有鼓勵台灣國防產業加入CMMC認證的呼聲,藉由打進美軍採購生態系,來提升台灣國防產業資安技術能量。

另外,我國因應戰前準備,需要生產大量的彈藥,軍工產業也是駭客攻擊的重點目標;藉由讓國內軍工產業滿足CMMC的需求,可有望進一步深化與美軍、美國國防承包商的合作,在未來可預見的戰爭中,得以立於不敗之地。

 

封面圖片獲123RF圖庫授權使用 

參考資料

  1. Gray, C., Martin, J., & VanEvery, C. (2022). What defense contractors need to know about compliance with CMMC 2.0? Retrieved from PwC: https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/assets/what-defense-contractors-need-to-know.pdf 
  2. Harper, J. (2020, July 29). 2020 Was Good Year for Contractors. Retrieved from National Defense: https://www.nationaldefensemagazine.org/articles/2021/7/29/2020-was-good-year-for-contractors 
  3. Lopez, C. T. (2020, January 31). S. DoD. Retrieved from DOD to Require Cybersecurity Certification in Some Contract Bids: https://www.defense.gov/News/News-Stories/Article/Article/2071434/dod-to-require-cybersecurity-certification-in-some-contract-bids/ 
  4. S. DoD. (2021, November). About CMMC. Retrieved from Department of Defense Chief Information Officer: https://dodcio.defense.gov/CMMC/about/ 
  5. 曾宜碩. (2022年11月11日). 台灣推動國防產業CMMC刻不容緩. 擷取自 國防安全研究院: https://indsr.org.tw/focus?uid=11&pid=523&typeid=21 

 

 

 

 

 

 

 

延伸閱讀
資訊安全、CMMC

專家群介紹

王志清

區塊鏈應用落地 縱深防禦資安策略與管理(Build Security In ISMS) 建置大型敏捷團隊(Scrum@Scale Large-Scale Scrum) 企業數位賦能/轉型 先進研發架構規劃(DevOps DevSecOps) 新事業發展策略與規劃(Lean Startup Customer Development)

吳俊達

數位轉型

彭賢恩

消費市場行銷研究 產業分析 秘密客調查 問卷量表設計 數據分析

蔡政安

公司策略管理與執行力計畫輔導、創意管理與問題解決分析 企業導入設計思考 邏輯金三角系統化問題分析 新事業發展策略與商業模式設計 事業營運計劃書(BP)撰寫 淨零碳排ESG相關策略

鄭旭高

數位資產/虛擬資產/虛擬通貨等相關財務諮詢 稅務規劃 法務諮詢 風控諮詢 資安規劃 智能合約審計與投融資