美军新规: 承包商需严守机密信息

美國國防部推出新規定：承包商須嚴格保護機密信息

美國國防部最新出台的《CMMC DFARS 最終規則》將嚴格要求其承包商在處理敏感信息方面採取更加強硬的措施。該規則旨在加強對政府控制信息的（FCI）和受管制資訊（CUI）的安全保障，並於2025年11月10日生效。

新規定引入了分级框架和评估流程，要求承包商根据其信息系统处理敏感信息的风险等级，采取相应的安全措施。然而，該規則也引发了一些争议。 首先，它并没有明确定义“CUI”的范围，導致承包商難以判断哪些信息需要受到保護。其次，规则中的模糊语句引发了对适用范围的猜测。例如，“用于履行合同”一词是否指所有与国防部相关的合同，还是仅限于直接涉及国防部的项目？

此外，该規則的实施还将分阶段进行。最初，新条款仅适用于特定项目，并在未来三年逐步扩大至所有涉及FCI或CUI的信息系统的合同。

儘管新規定帶來了一些不確定性，但美國國防部強調，CMMC DFARS 最終規則旨在加强整個供應鏈的安全保障，保護敏感信息免受惡意攻擊。承包商应利用分阶段实施的機會，认真梳理其信息系统和流程，确保符合新的安全要求。

专家建议承包商在执行新规定时保持谨慎，并与相关部门积极沟通，以澄清任何疑义。同時，也应该積極寻求外部专业机构的指导，确保有效地应对新的挑战。

阅读本文之前，你最好先了解：

• CUI (Controlled Unclassified Information): 受管制資訊，是指政府控制且未被公开的信息，即使并非机密级别，也需要受到保护。
• FCI (Federal Contract Information): 聯邦合同信息，指与联邦政府合同相关的信息，例如合同条款、供应商信息等。

CMMC DFARS 最终规则的具体实施细节和解读还在不断完善中。以下是一些值得关注的方面：

1. 评估等级: 新规定将信息系统分为五个风险等级 (Level 1-5)，承包商需要根据自身处理敏感信息的程度进行评估，并采取相应的安全措施。不同等级对应不同的安全要求，例如基础设施保护、访问控制和数据加密等。

2. 合规性认证: CMMC DFARS 最终规则将推行第三方认证机构对承包商信息系统的评估和认证。这意味着承包商需要通过严格的审计流程，证明其符合新规定的安全要求才能继续与国防部合作。

3. 数据共享: 新规定可能会影响承包商之间的数据共享方式。由于 CUI 和 FCI 的敏感性，数据传输将需要更严格的安全措施和协议，以确保信息不被泄露或滥用。

4. 持续改进: CMMC DFARS 最终规则并非一成不变，美国国防部可能会根据实际情况和行业反馈进行调整。承包商需要保持警惕，及时关注相关公告，并积极参与安全标准的制定和完善。

对于承包商来说，CMMC DFARS 最终规则带来的挑战和机遇并存。 主动学习新规定、加强安全措施、提升信息安全意识是当前的首要任务。

如果你有其它意见，请评论留言。