合规要求正从传统受监管行业向更广泛领域延伸。医疗行业有《健康保险携带与责任法案》（HIPAA），零售业有支付卡行业数据安全标准（PCI DSS），如今轮到美国国防工业基地（Defense Industrial Base，DIB）。

随着网络安全成熟度模型认证（Cybersecurity Maturity Model Certification，CMMC）的推进，美国国防部（DoD）在前首席信息官凯蒂·阿林顿（Katie Arrington）等人士的推动下，正对国防供应链中敏感数据的保护方式进行代际升级。

CMMC被视为一项合同门槛，而非一般性指导原则。其适用对象不仅包括大型国防承包商，还覆盖遍布全美、支撑国家经济运行和安全保障的中小企业。该框架将影响承包商的运营模式、业务流程以及其在国防供应链中的存续资格。

业内预计，CMMC的实施规模将十分庞大，成千上万家企业在起点上已处于不利位置。对国防工业基地而言，这不只是政策微调，而是一场深远且成本高昂的制度性变革。对供应链企业管理层来说，CMMC正迅速成为无法回避的核心议题。

最终规则落地

CMMC旨在在国防部与为其提供支持的企业之间建立新的信任标准。

今年9月，国防部发布了备受关注的CMMC最终实施规则。该规则要求联邦承包商评估自身保护受控非机密信息（Controlled Unclassified Information，CUI）的能力，这类信息涵盖范围广泛，被视为敏感数据。

根据该最终规则，自11月10日起，CMMC要求将被纳入国防合同的资格条件。规则将在三年内分阶段实施，从企业自我评估逐步过渡到由第三方机构进行验证。

中小企业承压

目前，美国国防工业基地约包含22万家公司。其中约7.6万家企业——包括约5.7万家小型企业——在未来七年内至少需要达到CMMC二级认证要求。预计将有数千家企业难以及时完成准备工作。

这些企业多为供应商、分包商、软件开发商、技术合作伙伴和系统集成商，在供应链中并非边缘角色。对其中许多企业而言，这是首次面对严格的网络安全审计要求。

二级认证门槛较高。承包商需落实《NIST SP 800-171》中规定的全部110项安全控制措施，涵盖访问控制、事件响应计划、系统完整性、漏洞管理等多个方面。同时，还需通过第三方审计，并提供相关证据、审计轨迹及整改计划。

成本问题被认为将对小型企业产生尤为显著的影响。行业估算显示，未来二十年内，CMMC合规相关成本总额可能超过630亿美元。对中小企业而言，新增的审计和合规支出将与研发、招聘和交付等核心投入直接竞争。一些此前已基本满足相关要求的大型承包商有能力继续承担成本，而部分小型企业可能因合规负担过重而选择退出国防业务。

这一过程预计将推动国防工业基地的结构调整，包括整合、分拆和并购等活动。CMMC合规状态将成为尽职调查中的重要考量因素，网络风险将与收入和增长指标一并被审视。

合规要求嵌入日常运营

CMMC还被视为更广泛合规趋势的一部分，即合规不再是由企业自行管理的“打勾式”流程，而是需要嵌入日常业务和工作流程之中。

在这一框架下，数据保护需综合考虑数据所在位置、使用设备、用户身份及具体业务场景，安全控制需随数据流动而延伸。这一要求同样适用于承包商使用个人设备、访问云应用或远程提供技术支持等情形。

CMMC的适用范围将对日常工作方式产生直接影响，并延伸至多个经济领域。除传统防务承包商外，软件供应商、物流服务商、培训机构、专业服务公司以及涉及机密相关业务的企业，均可能受到相关要求的约束。

在上述背景下，相关各方正被要求加快准备，以适应国防工业基地正在发生的合规转型，在满足新规要求的同时，维持业务连续性并支撑国防和军队相关任务。

（文中观点来自Island公司总裁史蒂夫·切杰扬 Steve Tchejeyan 的表述。）