五角大廈網安標準上線 承包商分5級

編譯劉孜芹／綜合外電報導

美國國防部近日宣布，研議已久的「網路安全成熟度模型認證」（CMMC 1.0）已上線，將美國企業依規模與服務內容分為5級，要求不同程度的網路安全作業與程序；今年的國防標案也適用此「網路安全標準」，要求投標企業符合規定。

1級最不嚴格 5級涉極機敏訊息

CMMC 1.0將各公司依規模大小與所提供服務，分為1至5級。1級的網路安全作業要求最不嚴格；5級公司則通常涉及極度敏感訊息，需最嚴格程序。五角大廈要求參與國防標案的各公司也符合該標準，針對各式合約，須達到不同的網路安全認證；競標不具敏感訊息的合約，僅須符合第1級認證，提供基本的網路安全作業即可，如更改密碼、配置防毒軟體等。

五角大廈過去沒有統一的網路安全要求標準，以供投標企業遵守，即使這些公司宣稱他們有足夠的網路安全作業，但這些程序都沒有經過專業人士的檢驗，也未因應服務的不同，而有不同標準。

駭客竊資 每年導致美18.2兆損失

CMMC認證委員會主席伯特歐表示，承包商須與政府合作，以應對日益嚴重的網路安全威脅，透過強而有力的政策執行，保護美國的基礎設施與訊息安全。美國防部指出，有心人士早已發現，攻擊毫無戒心的下游供應商比主承包商更容易；而駭客竊取訊息，每年更造成美國逾6000億美元（約新臺幣18.2兆元）損失。CMMC上線後，承包商必須確認下游供應商也符合網路安全要求標準，否則將失去競標資格。

設獨立認證委員會審核

為認定各企業是否符合所應有的CMMC等級，當局已設置獨立於國防部外的認證委員會與審核員，負責評估並批准競標公司。只要公司通過審核，效期將長達3年，預計2021年底將有1500家公司獲得認證，且自2026財年，所有企業合約都須包含網路安全要求標準，但不溯及過往。

針對日益嚴重的駭客威脅，五角大廈推行新的網路安全控制措施，以利國防部與各企業共同保護敏感訊息。圖為美國副總統彭斯為「網路安全峰會」致詞。（達志影像／路透社）