為什麼網路安全成熟度模型認證 (CMMC) 合規性很重要?
網路安全成熟度模型認證旨在保護作為國防合約一部分提供給組織的受控資料和其他敏感資料。 這包括聯邦合約資訊 (FCI) 和受控非機密資訊 (CUI)。
誰需要這個認證?
一旦該法規全面生效,任何計劃作為國防合約主承包商或分包商的組織都需要達到網路安全成熟度模型認證合規性。 所需的 CMMC 合規等級將取決於合約本身、組織在合約中的角色以及公司對作為合約一部分的 FCI 和 CUI 的存取權限。
CMMC 2.0的細節仍在製定中,該標準預計要到2023年5月才會推出。 屆時,國防合約將開始為期 5 年的分階段實施期,直到所有新合約都要求 CMMC 合規。
CMMC 級別
最初,網路安全成熟度模型認證包括五個層級的合規性,分為實務和流程。 然而,CMMC 2.0 標準的修訂版取消了這些流程,並將等級減少到以下三個:
這些修改消除了「過渡」階段 2 和 4,保留了三個漸進等級。 這些修改旨在降低與中小型企業 (SMB) 合規性相關的複雜性和成本。
修改後,CMMC 密切反映了 NIST 標準的合規性。 2 級合規相當於 NIST SP 800-171 的完整合規,而 3 級也源自 NIST SP 800-172。
CMMC 合規要求
組織必須達到的 CMMC 合規性要求等級取決於相關合約的詳細資訊。 然而,每個國防承包商都將被接受至少達到網路安全成熟度模型認證 1 級合規性,該認證涉及 FCI 的保護。 有權存取 CUI 的組織將需要更高層級的合規性。
合規性要求取決於所需的級別,包括:
- 1級: 1 級合規性需要針對 17 項安全控制措施進行年度自我評估。 FAR 52.204-21 涵蓋承包商資訊的基本保護中概述了這些控制措施。
- 2 級: 有權存取 CUI 的組織需要 2 級合規,相當於 NIST SP 800-171 的完整合規。 2 級合規性要求第三方審核員每三年對某些項目進行一次評估,並對其他項目進行年度自我評估,具體取決於所涉及資訊的敏感性。
- 3級: 3 級合規要求完整的 NIST SP 800-171 合規和帶有 NIST SP 800-172 的一些控制的合規。 CMMC 3 級合規審計將由政府審計員領導。
由於 CMMC 2.0 仍處於開發階段,每個層級的特定合規要求仍在不斷變化。 然而,1 級和 2 級合規性所需的安全控制和流程的集合已經定義,使組織能夠在需要參與國防合約之前在實現合規性方面取得先機。
如何獲得 CMMC 認證
獲得 CMMC 認證的流程取決於所需的合規等級。 對於那些只需要自我評估的級別,CMMC 已發布了評估指南。 完成自我評估後,公司高級官員將需要每年確認公司的合規性。
對於需要第三方審核的 CMMC 合規性,組織需要與經過認可的第三方評估組織 (C3PAO) 以及可能的政府評估員安排這些審核。 經認可的 C3PAO 清單可在 CMMC Marketplace 上取得,參與和完成審核的流程將在接近 CMMC 2.0 生效日期時提供。
反映意見