CMMC從1.0到2.0之間的變化,與對應的技術能力需求─資策會 FIND科技報─智邦公益電子報
enews.url.com.tw · December 19,2024CMMC從1.0到2.0之間的變化,與對應的技術能力需求
FIND研究員:李啟榮
自從美國國防部在2021年將「網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)」,從原本的五級調整為三級之後,每個級別對應的技術能力需求也有連帶變化,藉此降低合規門檻,讓更多國防承包商參與美軍CMMC認證。
另外,CMMC除了針對美國國內國防承包商外,美國國外(包含台灣)的國防承包商也要符合CMMC技術能力需求,以打入美軍資安產業鏈為契機,也能為我國資安技術能力提升可見度和知名度,或有機會爭取國軍甚至美軍選用我國資安方案。
技術發展背景
CMMC自2019年推出v1.0後,為因應國防承包商的分包商(轉包商、Subcontractors)針對原本CMMC v1.0有難以達到驗收需求的門檻,美國國防部就著手修訂CMMC,並在2021年11月推出CMMC 2.0版,將五級架構簡化為三級架構,原本的第2、第4級架構在2.0版被淘汰,新制第2級(舊制第3級)、新制第3級(舊制第5級)分別加強了與NIST SP800-171、NIST SP800-172的連結,凸顯「受控非機密資訊(Controlled Unclassified Information, CUI)」的安全防護重要性,讓主包商和分包商,比以往更容易了解和上手CMMC的需求。
技術介紹與應用現況
CMMC的v1.0版總共分為五級,以及其對應需求,以下要求均得接受第三方評鑑:
- 基礎級:針對聯邦合約資訊(Federal Contract Information, FCI)的基本防護
- 中階級:同上者,但防護需求更優
- 良好級:應具備CUI的基本防護需求
- 主動級:同上者,但有更主動的防護和因應措施
- 進階級:應具備CUI的進階防護需求
到了CMMC v2.0,則改為如下三級以及其對應需求,並改動了評鑑機制與各級評鑑單位:
- 基礎級:僅針對FCI的基本防護,承包商應每年一次自評
- 進階級:應具備CUI的基本防護需求,承包商應三年一次由第三方業者評鑑
- 專家級:應具備CUI的進階防護需求,承包商應三年一次由政府端評鑑
藉由CMMC分級架構的變動所帶來的評鑑單位變動,可望協助國防承包商和分包商更容易滿足需求,例如分包商可以僅做到基礎級,而上級的統包商則需要進階級以上的需求,可讓統包商和分包商能依據各自的能力和CMMC的需求,實現分工合作、提升交付效率和品質。
未來展望/挑戰
有鑑於台灣國防相關產業有爭取CMMC認證的呼聲,來打入美國國防供應鏈,強化美軍和國軍資安需求;加上台灣往往有國安和機密保護方面的擔憂,藉由讓我國國防產業,無論統包商或分包商,若能爭取CMMC的認證,可有益於「資安即國安」的落實,並與美國國務院主導的「乾淨網路」雙軌並行,強化台灣資安和國際先進技術的連結。
封面圖片經圖庫123RF授權使用
參考資料
- Armond, A. (2020, February 4). CMMC Version 1.0 Released – Analysis for DoD contractors. Retrieved from CMMC Audit Preparation: https://www.cmmcaudit.org/cmmc-version-1-0-released-analysis-for-dod-contractors/
- CMU, JHU. (2021, December). Cybersecurity Maturity Model Certification (CMMC) Model Overview. Retrieved from U.S. DoD: https://dodcio.defense.gov/Portals/0/Documents/CMMC/ModelOverview_V2.0_FINAL2_20211202_508.pdf
- Katz, A. (2021, November 12). CMMC 2.0 Eases Compliance Burden for DoD Contractors and Subcontractors. Retrieved from Tevora: https://www.tevora.com/blog/cmmc-20-eases-compliance-burden-for-dod-contractors-and-subcontractors/
推動精準醫療不落人後:打造「生醫健康資料商化應用平台」,實踐2030全齡健康願景
FIND研究員:陳珈后
當全球都投入生醫大數據建置的此刻,為了加速我國生技醫療能在2030年時達成全人精準健康照護體系的願景,政府也動起來以官方力量希望結合醫藥衛生的研發能力、特色健保資料庫及國家級生物資料庫整合平台機制,達成精準醫療、智慧健康、健保策略等三大目標。
在願景背後,「數據資料」扮演著不可或缺的關鍵角色。對此,經濟部技術處委託資策會建構「生醫健康資料商化應用平台」,除了滿足健康大數據治理及標準化、提供產官學研各界優質服務外,也同步打造國家級友善生醫資料分析與分享平台,並建立跨部會運作的協調機制,同時基於保護民眾隱私與資料安全的考量,資策會以自主研發的個人多維資料整合技術,建立數據供需整合平台,發展智慧化工具,在保障個資隱私與個人合規授權的前提下,輔助醫院進行資料整備或釋出作業,讓平台能實踐精準醫療。
個別產業與醫療攜手,從場域創造全新應用典範
如今,在經過多方努力下,「生醫健康資料商化應用平台」已有超過100家醫療院所、生醫製藥、醫材及資通訊業者加入,串起智慧健康從上游到下游的各種產業,打造出生醫健康數據應用生態系,促成生醫健康數據加值應用,增進開發精準健康領域之產品及創新服務,進而提升產業發展與全民健康。
例如浚鴻數據與新光醫院、衛生福利部豐原醫院及澄清醫院中港分院合作,以健康檢查報告作為進行「DKABio個人化智慧健康風險分析模型」驗證及數據辨識工具測試,一同為提升智慧健康產業研發技術及全民健康福祉而努力;另一個合作案例,則是由盛弘醫藥與依德科技、諾亞克科技共同攜手,以護理照護語料發展語音辨識引擎並整合於所開發之院所專用臨床照護系統,以求提升醫療照護品質。
與此同時,生醫健康資料商化應用平台未來也將持續發揮媒合角色,將相關醫療院所作為數據的提供方,並積極為資通訊業者、生醫相關產業等數據的需求方評估並梳理可取用作為開發各種智慧醫療服務的資料庫,以一站式的服務型態將生醫數據加值做到極大化利用,賦能生醫健康數據的創新生態。
而在來自各界的攜手合作下,除了能在個別領域創造出典範、一同見證我國生醫產業的重要里程碑外,也希望號召更多的製藥、醫材業者、資通訊業者、醫療院所、學研機構、國際合作夥伴、創投業者共同投入為提升智慧健康產業研發技術及全民健康福祉而努力,並結合我國Bio-ICT的先天優勢,推動2030全齡健康願景發展。
封面圖片來源:資策會數位轉型研究院
高科技顯示面板助攻,「螢」戰OMO新零售時代
FIND研究員:胡芝榮 全球疫情催化下,加速多元通路發展,如何透過數據整合與虛實通路融合的消費體驗提供一致性的品牌服務,為零售商業場域在後疫情時代逆勢成長的關鍵。高科技顯示面板結合新興顯示技術與創新內容、智慧科技,以貼近消費者需求的人機介面互動體驗,成為新零售時代的關鍵助力之一! >
RisQ透過數據分析債券投資可能產生之風險
FIND研究員:楊秉哲 氣候暖化對於全球經濟產生影響 預測災害影響力成為剛需 根據聯合國政府間氣候變遷專門委員會(Intergovernmental Panel on Climate Change, IPCC)於2021年發布的調查報告,如果全球平均溫度上升攝氏1.5度,極端氣候事件發生的頻率將會增加;上升攝氏 2 度,頻率會增加至少一倍以上。>