美國網路安全成熟度模型認證 (CMMC)

美國國防部 (DoD) 目前要求所有適用的國防承包商和分包商，應採取 NIST SP 800-171 所列的安全性控管機制。這項規定旨在保護聯邦合約資訊 (FCI) 和管制的非機密資訊 (CUI)，且為適用實體 DFARS 252.204-7012 合約承諾的一部分。

為了將這項要求制度化，並檢驗 NIST SP 800-171 合規性，美國國防部著手制定網路安全成熟度模型認證 (CMMC) 計畫。CMMC 規則定案後，凡是合約中提及 DFARS 252.204-7012 條款的美國國防部承包商，都必須達到美國國防部合約所規定的 CMMC 等級才有資格獲得合約。

CMMC 2.0 背景資訊

2023 年 12 月 26 日，美國國防部發表規則提案並開放公眾提供意見。意見徵詢期為 60 天，由規則制定者審查意見後，發布最終規則。根據這個時程，產業分析師預估最終規則將在 2025 年初發布，且首批承包商可隨之獲得 CMMC 認證。實際日期可能因政府的決策時程而有所變動。

CMMC 與 Google Cloud

CMMC 2.0 提供三個等級，機構應達到哪一等級則視美國國防部規定而異。雖然機構必須等到最終規則發布後，才能進行正式的 CMMC 評估，但 Google Cloud 已著手準備 CMMC 第 2 級認證，並透過指定的 CMMC 第三方評鑑機關 (C3PAO) 進行模擬評估，該機關亦支援 Google Cloud 服務和 Google Workspace 的 FedRAMP 授權程序。CMMC 2.0 定案後，Google 將按照為雲端服務供應商 (CSP) 定義的正式程序進行認證。

目前尚未有機構獲得 CMMC 認證，但 Google 已完成 NIST SP 800-171 評估，為 CMMC 2.0 計畫做好準備。您可以在 NIST SP 800-171 頁面找到這些評估報告。

根據現有的 CMMC 草案，承包商如採用雲端解決方案儲存 CUI，其雲端服務供應商至少須取得 FedRAMP 中等風險授權。為做好關於 CMMC 的準備，使用 Google Cloud 服務的美國國防工業基地 (DIB) 承包商，應參閱我們 FedRAMP 系統安全性計畫 (SSP) 中的 FedRAMP 客戶責任表 (CRM)，以瞭解與預期 CMMC 合規要求相關的共同責任模式。如有任何問題或需要參考文件，歡迎聯絡 Google 銷售團隊或您的 Google Cloud 代表。