CMMC輔導個案精選

由美國國防部推動的CMMC指標，係為了讓更多的民間國防承包商和分包商，能夠符合美軍採購案所需的聯邦採購規定（Federal Acquisition Regulations, FAR）、以及受控非機密資訊（Controlled Unclassified Information, CUI）的防護需求，讓中小型的國防產業能夠在美軍大型專案，發揮一己之長並佔有一席之地。本系列藉由案例介紹來了解民間業者如何參與CMMC，以及如何藉由美軍CMMC受益。

【案例服務說明】

目前CMMC尚在2020年推出的1.0版五級架構仍有效的期間，2021年推出的2.0版三級架構尚在規劃中；現行案例節錄自第三方顧問單位的CMMC輔導案例，部分案例可能依據保密需求而隱藏業主名稱。

1. Hyper Vigilance（第三方顧問） Pyramid Consulting（受輔導業者）

本案例為2020年5月，受輔導對象在此之前有連續12年參與美國國防部的職員訓練外包案，但當時受輔導業者需要符合CMMC v1.0的第三級（相當CMMC v2.0的第二級），來實施國防部職員的居家上班資安和合規需求訓練；受輔導單位當時的人月成本從88美元漲到125美元，但業者在接受第三方顧問輔導後，獲得CMMC v1.0第三級認證，可省下40%軟體採購授權金、每年省下35萬美元的財產持有成本。

2. SysArc（第三方顧問） 匿名受輔導業者

本案例受輔導業者有2500名員工的規模，並依照合約需求于以匿名。該業者有2家子公司負責網路基礎設施建置，必須符合NIST SP800-171需求，來滿足CMMC v1.0第三級認證，故求助第三方顧問來協助輔導上線和調整基礎設施；經由顧問輔導後，受輔導業者完成了感時網路（Time-sensitive network, TSN）和其他資安需求的調校作業，並如期獲得CMMC v1.0第三級認證。

【應用效益與成果】

美軍採購案傳統上往往由大型軍火商寡占（例：洛克希德、波音、諾斯洛普、雷神），中小型國防承包商由於經費、人力、資源等限制，往往難以打入美軍採購案而發揮所長；藉由推動CMMC，中小型國防承包商可以加入由大型統包商領頭的團隊，依據上中下游產業鏈的技術能量和資源，發揮個別分包商的技術專長，協助其他分包商和大型統包商，完成美軍在採購案所交付的重大任務。

【FIND觀點】

美軍主導的CMMC讓台灣的國防產業也有打入國際市場的舞台和契機，但台灣的國防產業規模較為中小型，並以提供資安和網路基礎設施為主；若能藉由政府方建立「國家隊」的方式，吸引台灣國防產業打團體戰，加入並成為美國大型國防承包商的分包商，除了獲得美軍和統包商驗收的肯定外，更有望讓台灣資安產業在國防市場上立足，保障台灣乃至美國與其盟邦的資訊安全。

封面圖片獲圖庫123RF授權使用 

參考資料

1. Hyper Vigilance. (2020, May). CMMC Case Study: Overview. Retrieved from Hyper Vigilance: https://hypervigilance.com/wp-content/uploads/2020/05/CaseStudy.pdf 
   
2. (2021). DFARS Compliance & CMMC Preparation for Large Prime Contractor. Retrieved from SysArc: https://www.sysarc.com/case-studies/cmmc-case-study-large-multinational-manufacturing-firm/