美國網路安全成熟度模型認證 (CMMC)

CMMC 計畫分為三個等級：

第 1 級：FCI 基本防護

• 重點：保護 FCI，例如合約編號和交貨時程等基本資訊。這個等級的規範較為簡單，能讓規模較小的組織輕鬆達標，前提是這些組織不會管理對國家安全至關重要的資訊。
• 要求：15 項基本資安做法，例如定期變更密碼和使用防毒軟體。
• 評估：每年進行自我評估。
• 適用性：所有在某種程度上處理 FCI 的承包商皆須遵守。這是最常見的等級。

第 2 級：CUI 全面防護

• 重點：保護 CUI，例如須受到妥善保護或受限於傳播控管的機密資料。這級規範旨在保護對國家安全至關重要的資訊。
• 要求：符合 NIST SP 800-171 r2 的 110 項安全規定，例如維護系統安全計畫 (SSP)、識別、記錄及監控 CUI 資產，以及實施安全漏洞掃描計畫，以找出並修復安全漏洞。
• 評估：依合約規定。部分合約可能會要求自我評估，有些則規定須由 CMMC 第三方評估機構 (C3PAO) 進行第三方評估。
• 適用範圍：處理 CUI 的承包商皆須符合這個等級的規範。

第 3 級：加強防範進階持續性威脅的 CUI 高階防護

• 重點：保護重要計畫中的高度機密 CUI。著重於採取額外的保護措施，防範進階持續性威脅 (APT)。
• 要求：第 2 級的所有要求，以及 NIST SP 800-172 的額外資安做法，進一步加強防護，例如制定完善的事件應變計畫、實施全方位的持續監控計畫，以及評估和控管供應鏈安全風險。
• 評估：由國防工業基地網路安全評估中心 (DIBCAC) 進行政府主導的評估。
• 適用性：適用於處理最機密政府專案的承包商。這是最少見的等級。
• 先決條件：承包商必須先取得 CMMC 第 2 級認證，才能申請 CMMC 第 3 級認證。

基本上，CMMC 等級越高，處理的資料機密程度就越高，資安要求也越嚴格。

您可以透過 Google Cloud 和 Google Workspace，運用已取得 FedRAMP 高等風險授權的 Google 服務來滿足組織各層級的 CMMC 合規要求。對於涵蓋範圍內的服務，Google Cloud 和 Google Workspace 皆持有 FedRAMP 高等風險執行授權 (ATO)。

為協助您達成 CMMC 合規要求，Google 提供下列指引文件：

• Google Workspace CMMC 導入指南
• Google Cloud CMMC 導入指南

此外，Google 還提供以下由獨立第三方評估機構出具的認證信函：

• Google Workspace C3PAO CMMC 認證信函 (Google Cloud 預計於 2025 年 8 月前取得)
• Google Cloud 和 Google Workspace 的 NIST SP 800-171 法規遵循認證信函

對於 Google Cloud，您必須使用 FedRAMP 高影響等級的 Assured Workloads 資料邊界，並在設定系統來協助組織遵守 CMMC 規範時，參照 CMMC 客戶責任表 (CRM)。如要取得上述任一文件 (如 CRM)，請洽 Google 業務團隊或 Google Cloud 代表。

對於 Google Workspace，您必須使用已取得 FedRAMP 高等風險授權的服務，才能符合 CMMC 規範，同時採用安全控管 Plus，確保資料僅儲存在美國境內。如有需要，也可停用尚未取得 FedRAMP 授權的服務。

• Google Cloud C3PAO CMMC 認證信函
• Google Workspace C3PAO CMMC 認證信函
• Google Cloud CMMC 導入指南
• Google Workspace CMMC 導入指南
• 美國國防部 CMMC
• CMMC 計畫最終規則
• 美國國防部資訊長 CMMC 評估指南