美國網路安全成熟度模型認證 (CMMC)

美國國防部 (DoD) 目前要求所有適用的國防承包商和分包商，應採取 NIST SP 800-171 r2 所列的安全性控管機制。這項規定旨在保護管制的非機密資訊 (CUI)，且為適用實體 DFARS 252.204-7012「保護受管制國防資訊和網路事件報告」合約承諾的一部分。處理聯邦合約資訊 (FCI) 的聯邦政府機構承包商 (包括國防合約) 有義務遵守 FAR 52.204-21「受管制承包商資訊系統的基本保護措施」中的安全性規定。

為了將這項要求制度化，並檢驗 NIST SP 800-171 r2 合規性，美國國防部發布 32 CFR 第 170 部分 CMMC 計畫規則，於 2024 年 10 月 15 日正式推出網路安全成熟度模型認證 (CMMC) 計畫，並於 2024 年 12 月 16 日生效。除了新版 32 CFR 第 170 部分 CMMC 計畫規則，美國國防部也提出採購規則 (48 CFR 第 204 部分 CMMC 採購規則)，以修訂 DFARS 並因應新版 32 CFR 第 170 部分 CMMC 計畫規則相關規定。預計 48 CFR 第 204 部分的 CMMC 採購規則將更新 DFARS 252.204-7021，要求受管制的承包商和分包商在合約期間內，取得並維持所需等級的 CMMC 認證。這代表在未來幾個月內，拍板定案後，承包商可能會開始看到美國國防部合約中納入更新的 DFARS 252.204-7021 條款，要求他們遵守 CMMC 規定。在 DFARS 252.204-7021 和相應的 CMMC 規定逐步納入合約的同時，已處理 FCI 和/或 CUI 的美國國防部承包商可以選擇自願取得 CMMC 法規遵循狀態。Google Cloud 已準備好協助國防承包商達成 CMMC 法規遵循要求。

CMMC 有哪 3 個級別？

CMMC 計畫分為三個等級：第 1 級旨在驗證 15 項與 FAR 52.204-21 相符的規定。第 2 級認證旨在驗證 110 項 NIST SP 800-171 r2 規定。除了上述條件，第 3 級還需驗證另外 24 項 NIST SP 800-172 規定。詳情請參閱下方說明。

第 1 級：FCI 基本防護機制

重點：保護 FCI (例如合約編號和交貨時間表等基本資訊)。這級規範的設計目標是讓較小規模的機構更容易遵守，前提是這些機構不會管理對國家安全至關重要的資訊。
相關規定：15 項基本網路安全做法。例如：定期變更密碼和使用防毒軟體。
評估：每年進行自我評估。
適用性：所有在某種程度上處理 FCI 的承包商皆須遵守。這是最常見的層級。

第 2 級：廣泛保護 CUI

重點：保護 CUI (例如受保護或散布控管的機密資料)。這級規範旨在保護對國家安全至關重要的資訊。
相關規定：110 項安全性規定，符合 NIST SP 800-171 r2 標準。例如：維護系統安全計畫 (SSP)，識別、記錄及監控 CUI 資產，以及實施安全漏洞掃描計畫，以找出並修正安全漏洞。
評估：由合約定義。部分合約可能需要進行自我評估，其他合約則可能需要由 CMMC 第三方評估機構 (C3PAO) 進行第三方評估。
適用性：處理 CUI 的承包商必須遵守。

第 3 級：更高層級的 CUI 保護機制，可防範進階持續性威脅

重點：保護重要計畫中的高度機密 CUI。著重於額外防護措施，以防範進階持續性威脅 (APT)。
相關規定：所有第 2 級規定，以及 NIST SP 800-172 中其他強化安全性的做法。例如：制定全面的事件應變計畫、實施全面的持續監控計畫，以及評估及管理供應鏈安全風險。
評估：由國防工業基地網路安全評估中心 (DIBCAC) 進行政府主導的評估。
適用性：適用於處理最機密政府專案的承包商。這是最不常見的等級。
先決條件：承包商必須先取得 CMMC 第 2 級認證，才能申請 CMMC 第 3 級認證。

基本上，CMMC 等級越高，代表處理的資料越機密，網路安全要求也越嚴格。特定合約所需的等級，取決於所涉及的資訊類型和專案的機密性。

Google Cloud 和 Google Workspace 支援 CMMC

客戶可以透過 Google Cloud 和 Google Workspace，採用 Google 的 FedRAMP 基準，並設定系統以遵循 FedRAMP 法規，進而遵守 CSP 適用的各級 CMMC 規定。Google Cloud 和 Google Workspace 皆針對定義服務維護 FedRAMP 中等風險和 FedRAMP 高等風險執行授權 (ATO)所有 FedRAMP 中等風險和 FedRAMP 高等風險服務均符合 NIST 800-171 r2 對 CSP 的要求。客戶設定系統時，必須使用 Google 在 FedRAMP 系統安全性計畫 (SSP) 中的 FedRAMP 客戶責任表 (CRM)，以符合 FedRAMP 法規遵循要求。

有要求提出時，Google 也能提供客戶實作指南，協助設定 CMMC 安全區，並提供第三方稽核機構認證 (C3PAO) 的 CMMC 法規遵循認證信函，以利客戶進行相關規定驗證。Google 銷售團隊或 Google Cloud 代表可協助您取得適用文件。

若您是 DoD 承包商，需要符合 CMMC 第 1 級規定，所有 Google Cloud 產品都能協助您達成法規遵循目標。如要符合 CMMC 第 2 級和/或第 3 級規定，管理 CUI 的 DoD 承包商必須採用雲端解決方案，且該解決方案提供的雲端服務至少須取得 FedRAMP 中等風險授權。如要使用 Google Cloud 服務達到這項基準，客戶可以採用這裡列出的 FedRAMP 授權服務。

Google Cloud 客戶必須選擇 FedRAMP 中等風險或 FedRAMP 高等風險法規控制套件，才能在軟體定義邊界內進行部署。如上方所述，客戶設定系統以遵循 FedRAMP 法規時，應使用屬於 Google FedRAMP SSP 中的 FedRAMP 客戶責任表。

Google Workspace 客戶必須確保自己僅使用符合 CMMC 規範的 FedRAMP 中等風險或 FedRAMP 高等風險服務。如有需要，客戶可以關閉尚未獲得 FedRAMP 授權的服務。

如果客戶要求只將資料儲存在美國，必須使用 FedRAMP 高等風險服務 (已設定 Assured Workloads 或安全控管 Plus) 和 FedRAMP 客戶責任表。這可確保客戶資料儲存在美國境內的 Google 資料中心區域。客戶也可以選擇使用 IL2、IL4 或 IL5 層級的 Google 解決方案，滿足資料落地需求。Google 建議客戶遵守 Google Workspace FedRAMP 設定指南，以符合 CMMC 規範。