五角大廈網安標準上線 承包商分5級

青年日報社
青年日報

編譯劉孜芹/綜合外電報導

美國國防部近日宣布,研議已久的「網路安全成熟度模型認證」(CMMC 1.0)已上線,將美國企業依規模與服務內容分為5級,要求不同程度的網路安全作業與程序;今年的國防標案也適用此「網路安全標準」,要求投標企業符合規定。

1級最不嚴格 5級涉極機敏訊息

CMMC 1.0將各公司依規模大小與所提供服務,分為1至5級。1級的網路安全作業要求最不嚴格;5級公司則通常涉及極度敏感訊息,需最嚴格程序。五角大廈要求參與國防標案的各公司也符合該標準,針對各式合約,須達到不同的網路安全認證;競標不具敏感訊息的合約,僅須符合第1級認證,提供基本的網路安全作業即可,如更改密碼、配置防毒軟體等。

五角大廈過去沒有統一的網路安全要求標準,以供投標企業遵守,即使這些公司宣稱他們有足夠的網路安全作業,但這些程序都沒有經過專業人士的檢驗,也未因應服務的不同,而有不同標準。

駭客竊資 每年導致美18.2兆損失

CMMC認證委員會主席伯特歐表示,承包商須與政府合作,以應對日益嚴重的網路安全威脅,透過強而有力的政策執行,保護美國的基礎設施與訊息安全。美國防部指出,有心人士早已發現,攻擊毫無戒心的下游供應商比主承包商更容易;而駭客竊取訊息,每年更造成美國逾6000億美元(約新臺幣18.2兆元)損失。CMMC上線後,承包商必須確認下游供應商也符合網路安全要求標準,否則將失去競標資格。

設獨立認證委員會審核

為認定各企業是否符合所應有的CMMC等級,當局已設置獨立於國防部外的認證委員會與審核員,負責評估並批准競標公司。只要公司通過審核,效期將長達3年,預計2021年底將有1500家公司獲得認證,且自2026財年,所有企業合約都須包含網路安全要求標準,但不溯及過往。

針對日益嚴重的駭客威脅,五角大廈推行新的網路安全控制措施,以利國防部與各企業共同保護敏感訊息。圖為美國副總統彭斯為「網路安全峰會」致詞。(達志影像/路透社)

你可能還想看