美国防部2023年底发布了期待已久的网络安全成熟度模型认证（CMMC）计划拟议规则。作为保护国防工业基础（DIB）免受不断演变的安全威胁的一种手段，该计划最初由美国防部2019年提出。承包商信息系统是重点，CMMC的目的是通过要求实施与风险相称的特定安全保护，并从自我证明模型转变为需要第三方验证涉及敏感、非机密信息的某些合同的安全措施实施情况的模型，来增强网络安全合规性。CMMC临时规则于2020年11月30日生效。随着美国防部宣布CMMC2.0，该临时规则于2021年11月提出了重大修订。

美国防部首席信息官（CIO）办公室于2023年12月26日发布了最新的CMMC拟议规则。该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构，并具有一些附加功能和要求。在提出CMMC拟议规则的同时，美国防部还为CMMC计划提供了8份额外的指导文件，涵盖CMMC模型、评估、范围界定等方面。

最新拟议规则要点如下：

拟议的规则确定了日益先进的网络安全保护的三个CMMC级别。任何给定合同的适当级别将取决于在非保密承包商信息系统上处理、存储或传输的信息的敏感性。

第1级：CMMC第1级仅针对涉及联邦合同信息（FCI）的合同，要求遵守《美国联邦采购法规（FAR）》52.204-21“涵盖承包商信息系统的基本保护”。该条款已适用于大多数基于FAR的合同，要求承包商必须完全遵守美国防部CIO认为“对于任何希望实现基本网络安全的实体来说至关重要”的15项安全要求。（译注：根据FAR4.1901，FCI被定义为“不打算公开发布的信息，由政府根据向政府开发或交付产品或服务的合同提供或为政府生成的信息，但不包括政府向公众提供的信息或简单的交易信息，例如处理付款所需的信息。”）

第2级：此级别适用于涉及受控非机密信息（CUI）的合同。除CMMC第1级要求外，承包商还必须实施《美国国家标准与技术研究所特别出版物800-171修订版2》《NISTSP800-171Rev2》中规定的110项安全要求，这些要求与承包商当前必须满足《美国国防联邦采购规范补充（DFARS）》252.204-7012中规定的要求相同。（译注：根据《美国联邦法典》，CUI被定义为“整个行政部门中需要任何保护或传播控制的所有非机密信息”）

第3级：CMMC第3级旨在增强CUI抵御高级持续威胁（APT）的保护。除CMMC第1级和第2级要求外，承包商还必须实施《美国国家标准与技术研究所特别出版物800-172》（NISTSP800-172）中选定的24项安全要求。

根据新要求，每个国防部承包商（以及大多数分包商）现在都需要执行（或由第三方执行）网络安全合规性评估，并在国防部供应商绩效风险系统（SPRS）中提交报告。此外，承包商和适用的分包商必须完成并提交符合其CMMC级别要求的合规确认书。这些确认可能被视为针对《虚假申报法》目的的明确陈述，因此应非常认真地对待。该规则指出，“所有CMMC确认均应由负责确保寻求评估的组织（OSA）符合CMMC计划要求的OSA高级官员提交。”

第1级：主承包商和适用的分包商必须每年进行一次完全遵守FAR52.204-21的自我评估。实体可以但不要求聘请第三方进行评估。承包商必须通过执行年度自我评估并将结果上传到“供应商绩效风险系统”（SPRS）来验证是否遵守这些安全要求。此外，承包商高级官员每年需要通过SPRS确认持续遵守安全要求。

第2级：根据当前要求，处理、存储或传输CUI的承包商和分包商必须对NISTSP800-171的合规性进行自我评估，并制定记录此类合规性的系统安全计划（SSP）以及这些领域的行动计划和里程碑（POA&M）存在安全漏洞的地方。承包商和分包商还必须在SPRS中上传自我评估分数。

根据合同的不同，承包商需要进行自我评估或接受第三方评估，以验证是否符合相关安全要求。订约机构将根据任何给定计划中涉及的CUI的敏感性来确定适当的评估方法。如果机构要求进行CMMC第三方评估机构（C3PAO）评估，寻求认证的承包商或分包商必须聘请经过CMMC认证的C3PAO来验证安全要求的实施情况。第三方评估员将评估结果提交至CMMC企业使命保障支持服务（eMASS）。无论采用哪种方式，评估必须至少每三年进行一次（第三方评估的有效期最长为三年）。

承包商可以针对尚未满足的安全要求制定行动计划和里程碑，但这些计划必须在评估后180天内结束。与CMMC第1级一样，承包商高级官员需要在每次通过SPRS进行评估后确认符合安全要求。

第3级：需要满足CMMC第3级要求的承包商和分包商必须获得由国防合同管理机构（DCMA）国防工业基础网络安全评估中心（DIBCAC）进行的评估和认证。这些评估的有效期最长为3年。与第2级一样，承包商可以针对尚未满足的安全要求制定行动计划和里程碑，但需要满足最低分数和某些不可协商的要求。

此外，主承包商和任何适用分包商的高级官员将被要求在每次评估（包括POA&M收尾）后以及此后每年在SPRS中确认其持续遵守指定的安全要求。

评估的先决条件是范围界定工作，承包商或分包商将通过该工作确定哪些信息技术系统和资产必须包含在给定的评估中。换句话说，寻求评估的组织必须定义CMMC评估的边界。承包商可以在其系统内有不同的飞地或部分，并在不同的CMMC级别进行评估。

所有处理、存储或传输FCI的资产都必须包含在第1级评估中。

第2级评估不仅必须包括处理、存储或传输CUI的资产，还必须包括为这些资产提供安全保护的所有资产。此外，“承包商风险管理资产”，即由于安全政策、程序和实践的原因可以（但无意）处理、存储或传输CUI的资产，被记录在案，并受到有限的检查。最后，“专用资产”，即可以处理、存储或传输CUI但无法完全保护的资产，包括物联网设备、工业物联网设备、运营技术、政府提供的设备、受限信息系统和测试设备，被记录在案，但不根据其他CMMC安全要求进行评估。

第3级流程遵循第2级流程，但将“专用资产”也包含在评估范围内。

15项第1级标准将在简单的“满足/不满足”基础上进行评估。为了证明合规性，必须满足所有标准。

拟议规则规定了用于衡量CMMC第2级和第3级要求的实施状态的评估评分方法。对于第2级，最高分数等于该级别的安全要求总数（110）。如果未满足某项要求，则会从分数中扣除该要求的关联值（例如1分、3分、5分），这可能会导致负分。

第3级评分不像第2级评分那样使用不同的值。所有第3级安全要求对每个安全要求都使用1分值。因此，第3级可达到的最高分数相当于第3级安全要求的总数。对于每项未满足的安全要求，最高分数都会减少1分。

一旦CMMC全面实施，处理敏感信息的美国防部承包商将需要达到机构指定的CMMC级别，作为授予合同的条件。涉及在承包商系统上处理、存储或传输FCI或CUI的美国防部合同招标将分配CMMC级别和评估类型（即自我评估、第三方或政府评估）要求，该要求必须在该机构授予合同前满足。《美国国防联邦采购规范补充（DFARS）》条款将来还需要修改，以与CMMC计划保持一致。

根据当前的《美国国防联邦采购规范补充（DFARS）》252.204-7020，承包商必须在授予任何合同前确认其将在分包商信息系统上处理、存储或传输CUI的分包商有SPRS分数存档。DFARS252.204-7021还规定，主承包商有责任将适用的CMMC要求下达给其承包商。

拟议规则重申了这些义务，并确认主承包商将根据《美国联邦法典（CFR）》为其分包商确定所需的CMMC级别（如果招标中尚未定义）。

受CMMC约束的分包商必须满足主承包商指定CMMC级别所需的所有评估和认证要求。

美国防部在拟议规则中纳入了CMMC计划推出的预计时间表。具体来说，美国防部打算在两年半的时间内分四个阶段实施CMMC计划：

第一阶段从美国防部最终CMMC规则生效之日开始（即DFARS252.204-7021正式修订时）。在第一阶段，CMMC第1级或2级自我评估成为合同授予的条件。这意味着承包商必须自我评估其是否符合CMMC第1级或第2级（以适用于合同的级别）的网络安全要求，才有资格被授予合同。美国防部还可能自行决定在某些合同中纳入第三方CMMC第2级评估要求。

第二阶段在第一阶段后6个月开始。在第二阶段，美国防部将在所有适用的合同授予中添加CMMC第2级认证评估要求。这意味着承包商需要通过第三方CMMC第2级评估，才有资格获得符合CMMC第2级认证要求的合同。美国防部还可能自行决定将CMMC第3级认证评估要求纳入某些合同中。

第三阶段在第二阶段1年后开始。在第三阶段，美国防部将把CMMC第2级认证评估要求扩展到国防部最终确定CMMC规则前授予的适用合同。这意味着美国防部不会对现有合同行使选择权，除非承包商已通过第三方CMMC第2级评估（假设CMMC第2级要求适用于合同）。此外，美国防部还将在所有适用的合同授予中添加CMMC第3级认证评估要求。

第四阶段在第三阶段1年后开始，将标志着CMMC计划的全面实施。在第四阶段，美国防部将在所有适用的国防部招标和合同中纳入所有CMMC计划要求，包括现有合同的选择期。

假设，如果最终CMMC规则于2024年12月26日（美国防部发布拟议规则1年后）生效，则第一阶段将于2024年12月26日开始；第二阶段将于2025年6月26日开始；第三阶段将于2026年6月26日开始；第四阶段将于2027年6月26日开始。虽然两年半的时间似乎很长，但承包商现在应该开始评估其合规性，特别是如果其计划获得第三方认证CMMC第2级或第3级。不满足适用的CMMC要求的承包商可能会错过竞争新合同的机会，或者可能在选择权期未行使后终止其现有的国防部合同。