行业新闻与博客

ISACA 已被美国国防部 (DoD) 指定为网络安全成熟度模型认证 (CMMC) 计划的全球认证机构，以确保国防承包商符合严格的网络安全标准。

美国国防部于 2020 年推出了 CMMC，以确保公司在执行政府合同时保护敏感信息。

该计划要求处理联邦合同信息 (FCI) 和受控非密信息 (CUI) 的承包商实施适当的网络安全措施，以保护国防工业基础。

2025 年 9 月 10 日，美国国防部在《 联邦公报》上发布了最终的 CMMC 规则，该规则于 2025 年 11 月 10 日生效，正式启动了国防部合同网络安全要求为期三年的推广计划。

到 2028 年，所有向美国国防部供货或为其工作的组织都需要获得 ISACA 颁发的 CMMC 认证。

ISACA 现在是 CMMC 评估员和讲师认证机构 (CAICO) 的唯一负责人，负责培训、考核和认证 CMMC 生态系统中的专业人员、评估员和讲师。

CMMC 规则到 2028年将影响全球 20 万家承包商

据 ISACA 称，随着 CMMC 框架从 2025 年到 2028 年逐步纳入美国采购体系，预计将有超过 20 万家组织受到影响。

这包括许多处理 CUI 或 FCI 的欧洲组织，或者为某些主要承包商提供支持的组织，这些组织也需要获得 CMMC 认证。 

“在整个欧洲，各组织都在朝着更加结构化、可验证的网络安全成熟度实践方向发展，尤其是那些从事跨境国防和高科技供应链的组织，”ISACA 首席全球战略官 Christos Dimitriadis 表示。 

“全球范围内合格的网络安全评估人员短缺。 ISACA 通过主导 CMMC 认证项目，正在帮助建立一支值得信赖的队伍，能够支持组织加强其网络韧性。”

ISACA 认为，CMMC 框架与欧洲监管机构在 NIS2 和 DORA 框架下采取的方向非常一致 ，在这些框架下，可独立验证的网络成熟度和供应链安全正成为企业的基本要求。

他补充道：“合规固然重要，但 CMMC 以及欧洲各地网络安全成熟度提升工作的根本驱动力在于保护组织免受日益复杂的威胁。加强网络安全成熟度如今已成为保障业务连续性、韧性和信任的根本所在。”

CAICO 的角色以前由 Cyber AB 承担，Cyber AB 仍然是 CMMC 项目的官方认证机构。