美國國防部為評估承包商(包括外國供應商、分包商)在網路安全領域的能力,制定一套「網路安全成熟度認證」 (Cybersecurity Maturity Model Certification, CMMC) 。
針對廠商不同涉密等級,設置Level 1 ~ Level 3,評鑑方式、評鑑頻率、稽核要求各有所不同。
資安要求
Level 1 專家級:(研擬中)擬引NIST SP 800-171 R2 全部要求+NIST SP 800-172部分要求
Level 2 進階級:NIST SP 800-171 R2 全部要求
Level 3 基礎級:艾斯飛利特別為大家編譯、整理Level 3的要求共17條,內容如下:
存取權限控制Access Control (AC)
1、將資訊系統訪問限制為經授權授權使用者、代表授權使用者的流程或設備(包括其他資訊系統)。
2、將資訊系統訪問限制為允許授權使用者執行的交易和功能類型。
3、驗證、控制/限制對公開資訊系統之連線、使用。
4、控制公開資訊系統上所發布或處理的資訊。
身分鑑別Identification and Authentication (IA)
5、識別資訊系統使用者、代表使用者的程序,或設備。
6、驗證(或確認)使用者、程序或設備的身份,做為允許訪問組織資訊系統的先決條件。
媒體保護Media Protection (MP)
7、在曾保存FCI的資訊系統媒體汰除或提供重複使用之前,應進行消毒或銷毀。
實體保護Physical Protection (PP)
8、將資訊系統、設備及個別作業環境之實體進入權限,限制為經授權之個人。
9、訪客活動需予監陪。保留實體存取設備之日誌檔。
10、控制與管理實體存取設備。
系統與通訊保護System and Communications Protection (SC)
11、在資訊系統的外部邊界及內部分區邊界,監控、控制、保護組織通訊(如藉由資訊系統傳輸或接收之資訊)。
12、為物理上或邏輯上與內部網路分離的公共可訪問系統組成,應實施子網段。
13、系統與資訊完整性System and Information Integrity (SI)
14、即時發現、報告和矯正資訊和資訊系統的缺陷。
15、在組織資訊系統內部的適當位置,提供防範惡意軟體之保護。
16、當有新版本可用時,更新病毒碼。
17、對資訊系統進行定期掃描,並在檔案下載、打開或執行時對來自外來檔案進行即時掃描。