快速总结,更好地理解CMMC

CMMC是什么?

简而言之,这是一种了解公司在安全实践方面有多成熟的方法,并为与国防部(DoD)合作的公司设定标准保护受控的非机密信息(CUI),并最终降低由这些企业造成违约的可能性。CMMC目前还处于草案阶段。

美国国防部正在与国防工业基地(DIB)部门合作,加强对敏感数据的保护,特别是供应链中的联邦合同信息(FCI)和CUI。恶意网络活动窃取数千亿美元的知识产权(IP)威胁美国经济和国家安全.据估计,这些威胁在2016年给美国造成了570亿至1090亿美元的损失,而且威胁还在不断增加。知识产权被盗的原因是可怜的网络安全成熟度控制执行不力年代。

这些指导方针将各种网络安全控制标准(NIST、ISO、AIA和其他)合并成一个统一的标准,但与NIST SP 800-171不同的是,CMMC将实施五(5)个级别,并考虑您的公司在多大程度上实施这些标准。

CMMC将如何影响您的业务?

2020年6月开始,无论你是承包商还是分包商,如果你想与国防部做生意,你必须获得你的认证。有5个成熟度级别,但不是每一种类型的合同都需要最高的成熟度级别。要求的级别将取决于你公司处理的CUI数量,即使你认为没有。所需的CMMC水平将包含在提案请求(RFP)的L&M部分,使网络安全成为国防部合同中“允许的”成本。

这将在最初只与国防部签订合同的情况下实施,但不要惊讶于它适用于其他政府实体。

CMMC标志

请求一个安全合规咨询

1.800.264.8851

  • 此字段用于验证目的,应该保持不变。

你的企业如何获得认证?

您将确定您需要何种级别的认证来满足要求,并直接与经认可的独立第三方合作来安排您的评估。没有自我评估的选择。大多数组织都需要与AME Group这样的公司合作,他们熟悉数据安全和法规遵从性,为认证评估做准备。188博金宝网页官网你的认证等级是公开的,但调查结果的细节是不公开的。认证期限和费用尚未确定。费用将很可能与要求的水平成比例,并被认为是允许的,可报销的费用,不会令人望而却步。

你应该如何准备?

开始于一个安全风险评估由了解遵从性和安全标准的公司负责。这将为您提供做出最佳决策、对需求进行优先排序并创建安全计划的知识。

减少安全风险根据优先级在SRA中找到。

训练你的员工

CMMC模型框架

CMMC水平

最高水平的最佳实践。共有17个领域,它们起源于联邦信息处理标准(FIPS)领域和NIST SP 800-171控制家族。

功能

每个域由一系列功能进一步细分,这些功能是确保在每个域内实现网络安全目标的成就。

实践和过程

实践度量实现法规遵循所需的技术活动,而过程度量公司过程的成熟度。这些被映射到5个成熟度级别。

五CMMC水平

为了满足特定的CMMC级别,组织必须满足该级别及其以下的实践和过程。

CMMC水平

CMMC功能

在这里查看完整的文档-https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf