美國國防部(Department of Defense, DOD)於1/31宣布，2020年9月底前，該部將要求部分競標國防部合約之承包商具備網路安全驗證，此一驗證將奠基於國防部所發表之「網路安全成熟度模型驗證1.0」(Cybersecurity Maturity Model Certification, CMMC)，承包商必須依據專案之機密性，取得不同等級之安全驗證。目前美國國防部將CMMC分為五個等級，從第一等級基本網路防護(Basic)、中等網路防護(Intermediate)、良好網路防護(Good)、主動防護(Proactive)，到第五等級進階防護(Advanced)。負責採購業務之國防部副部長Ellen Lord指出，網路安全風險威脅美國政府及其合作夥伴之國防產業與國家安全，每年全球因網路竊盜所損失之金額高達6千億美元。在現今競爭環境中，不管是資訊或技術都是重要基石，且對駭客而言，攻擊第二線供應商比攻擊一線供應商更有吸引力，而CMMC將同時規範第一線與第二線供應商之網路安全準備度。

國防部資通安全長Katie Arrington表示，第一等級基本防護很容易就可達到，包含詢問合約商是否部署或定期更新防毒軟體，以及是否定期更新密碼等問題；第二等級防護則注重承包商之網路安全程序，確定承包商有效地記錄、管理、審查及最佳化網路安全部署。未來國防部在承包商提案競標專案時，都會根據專案需求，提出不同等級之CMMC驗證要求，相關驗證將由獨立第三方負責執行。依照美國國防部規劃，2020年6月底前會公布包含CMMC驗證之合約，9月底前會公布包含CMMC驗證之專案需求。預計2026年，美國國防部所有新合約將都包含CMMC驗證要求。

資料來源：
https://www.bleepingcomputer.com/news/security/dod-to-require-cybersecurity-certification-from-defense-contractors/
https://www.defense.gov/Explore/News/Article/Article/2071434/dod-to-require-cybersecurity-certification-in-some-contract-bids/
https://ithome.com.tw/news/135658
完整CMMC相關文件請參閱：
https://www.acq.osd.mil/cmmc/draft.html