行業新聞與部落格

ISACA 已被美國國防部 (DoD) 指定為網路安全成熟度模型認證 (CMMC) 計劃的全球認證機構，以確保國防承包商符合嚴格的網路安全標準。

美國國防部於 2020 年推出了 CMMC，以確保公司在執行政府合同時保護敏感資訊。

該計劃要求處理聯邦合同資訊 (FCI) 和受控非密資訊 (CUI) 的承包商實施適當的網路安全措施，以保護國防工業基礎。

2025 年 9 月 10 日，美國國防部在《 聯邦公報》上釋出了最終的 CMMC 規則，該規則於 2025 年 11 月 10 日生效，正式啟動了國防部合同網路安全要求為期三年的推廣計劃。

到 2028 年，所有向美國國防部供貨或為其工作的組織都需要獲得 ISACA 頒發的 CMMC 認證。

ISACA 現在是 CMMC 評估員和講師認證機構 (CAICO) 的唯一負責人，負責培訓、考核和認證 CMMC 生態系統中的專業人員、評估員和講師。

CMMC 規則到 2028年將影響全球 20 萬家承包商

據 ISACA 稱，隨著 CMMC 框架從 2025 年到 2028 年逐步納入美國採購體系，預計將有超過 20 萬家組織受到影響。

這包括許多處理 CUI 或 FCI 的歐洲組織，或者為某些主要承包商提供支援的組織，這些組織也需要獲得 CMMC 認證。 

“在整個歐洲，各組織都在朝著更加結構化、可驗證的網路安全成熟度實踐方向發展，尤其是那些從事跨境國防和高科技供應鏈的組織，”ISACA 首席全球戰略官 Christos Dimitriadis 表示。 

“全球範圍內合格的網路安全評估人員短缺。 ISACA 透過主導 CMMC 認證專案，正在幫助建立一支值得信賴的隊伍，能夠支援組織加強其網路韌性。”

ISACA 認為，CMMC 框架與歐洲監管機構在 NIS2 和 DORA 框架下采取的方向非常一致 ，在這些框架下，可獨立驗證的網路成熟度和供應鏈安全正成為企業的基本要求。

他補充道：“合規固然重要，但 CMMC 以及歐洲各地網路安全成熟度提升工作的根本驅動力在於保護組織免受日益複雜的威脅。加強網路安全成熟度如今已成為保障業務連續性、韌性和信任的根本所在。”

CAICO 的角色以前由 Cyber AB 承擔，Cyber AB 仍然是 CMMC 專案的官方認證機構。