사이버 보안 성숙도 모델 인증(CMMC) 규정 준수

사이버 보안 성숙도 모델(CMMC) 인증은 미국 국방부가 방위 산업 기지의 사이버 보안 태세를 강화하기 위해 고안한 인증입니다. 이전에는 방위 계약업체가 스스로를 다음과 같이 인증해야 했습니다. NIST SP 800-171 준수 - CMMC의 주요 기여자입니다. CMMC가 완전히 시행되면 방위 계약을 진행하고자 하는 모든 조직은 일정 수준의 CMMC 컴플라이언스를 유지해야 합니다.

Download the eBook 데모 예약하기

Cybersecurity Maturity Model Certification Compliance

사이버보안 성숙도 모델 인증(CMMC) 컴플라이언스가 중요한 이유는 무엇인가요?

사이버 보안 성숙도 모델 인증은 방위 계약의 일부로 조직에 제공되는 통제 대상 및 기타 민감한 데이터를 보호하기 위해 고안되었습니다. 여기에는 연방 계약 정보(FCI)와 기밀 해제 정보(CUI)가 모두 포함됩니다.

이 인증은 누가 필요하나요?

방위 계약에서 주계약자 또는 하청업체로 일하려는 모든 조직은 규정이 본격적으로 시행되면 사이버 보안 성숙도 모델 인증 컴플라이언스를 획득해야 합니다. 필요한 CMMC 컴플라이언스 수준은 계약 자체, 계약 내에서 조직의 역할, 계약의 일부인 FCI 및 CUI에 대한 회사의 액세스 권한에 따라 달라집니다.

CMMC 2.0의 세부 사항은 아직 작업 중이며, 표준은 2023년 5월에나 출시될 예정입니다. 그 시점부터 모든 신규 계약에 CMMC 컴플라이언스가 요구될 때까지 5년의 단계적 도입 기간이 시작됩니다.

CMMC 수준

원래 사이버 보안 성숙도 모델 인증에는 5가지 수준의 컴플라이언스가 관행과 프로세스로 세분화되어 있습니다. 그러나 CMMC 2.0으로 표준이 개정되면서 이러한 프로세스가 제거되고 레벨이 다음 세 가지로 축소되었습니다:

  • 기초(레벨 1)
  • 고급(레벨 2)
  • 전문가(레벨 3)

이러한 수정으로 '과도기적' 2단계와 4단계가 제거되어 3단계의 점진적 단계가 유지되었습니다. 이러한 변경 사항은 중소기업(SMB)의 규정 준수와 관련된 복잡성과 비용을 줄이기 위한 것입니다.

수정된 결과, CMMC는 NIST 표준 준수와 밀접하게 반영되었습니다. 레벨 2 컴플라이언스는 NIST SP 800-171을 완전히 준수하는 것과 동일하며, 레벨 3은 NIST SP 800-172를 따르는 것입니다.

CMMC 규정 준수 요구 사항

조직이 달성해야 하는 CMMC 컴플라이언스의 요구 수준은 해당 계약의 세부 사항에 따라 다릅니다. 그러나 모든 방위 계약업체는 최소한 사이버보안 성숙도 모델 인증 레벨 1 컴플라이언스를 달성해야 하며, 이는 FCI 보호를 다룹니다. CUI에 액세스할 수 있는 조직에는 더 높은 수준의 컴플라이언스가 필요합니다.

컴플라이언스에 대한 요구 사항은 필요한 수준에 따라 다르며 다음을 포함합니다:

  • 레벨 1: 레벨 1 컴플라이언스는 17가지 보안 통제에 대해 매년 자체 평가를 받아야 합니다. 이러한 통제는 FAR 52.204-21 적용 대상 계약자 정보의 기본 보호에 요약되어 있습니다.
  • 레벨 2: 레벨 2 컴플라이언스는 CUI에 액세스할 수 있는 조직에 요구되며 NIST SP 800-171의 전체 컴플라이언스와 동일합니다. 레벨 2 컴플라이언스는 관련 정보의 민감도에 따라 일부 프로그램의 경우 3년에 한 번씩 제3자 감사인의 평가를 받아야 하고, 다른 프로그램의 경우 매년 자체 평가를 받아야 합니다.
  • 레벨 3: 레벨 3 컴플라이언스는 전체 NIST SP 800-171 컴플라이언스 및 NIST SP 800-172의 일부 통제 사항을 준수해야 합니다. CMMC 레벨 3에 대한 컴플라이언스 감사는 정부 감사관이 주도합니다.

CMMC 2.0은 아직 개발 중이므로 각 레벨의 컴플라이언스에 대한 정확한 요구사항은 아직 유동적입니다. 그러나 레벨 1 및 2 컴플라이언스에 필요한 보안 통제 및 프로세스 모음은 이미 정의되어 있으므로 조직은 방위 계약에 참여하기 전에 컴플라이언스를 달성하기 위한 준비를 시작할 수 있습니다.

CMMC 인증을 받는 방법

CMMC 인증 획득 절차는 필요한 컴플라이언스 수준에 따라 다릅니다. 자체 평가만 필요한 레벨을 위해 CMMC에서 평가 가이드를 발행했습니다. 자체 평가를 완료한 후에는 회사 고위 관계자가 매년 회사의 컴플라이언스 준수 여부를 확인해야 합니다.

제3자 감사가 필요한 CMMC 컴플라이언스의 경우, 조직은 공인된 제3자 평가 기관(C3PAO) 및 잠재적으로 정부 평가자와 함께 이러한 감사를 예약해야 합니다. 공인 C3PAO 목록은 CMMC 마켓플레이스에서 확인할 수 있으며, 감사 참여 및 완료 절차는 CMMC 2.0 시행일에 가까워질수록 공개될 예정입니다.

체크 포인트를 통한 CMMC 컴플라이언스 달성

사이버 보안 성숙도 모델 인증 컴플라이언스를 달성하고 유지하려면 FCI 및 CUI에 액세스할 수 있는 모든 시스템에서 NIST SP 800-171 및 잠재적으로 NIST SP 800-172를 준수해야 합니다. 이를 달성하려면 필요한 보안 제어를 구현하고 지속적인 규정 준수를 입증해야 합니다.

체크 포인트 CloudGuard 는 규정 준수를 위해 기업 시스템에 대한 지속적인 모니터링을 수행하여 조직이 CMMC 컴플라이언스를 달성하고 유지할 수 있도록 지원합니다. 체크 포인트가 조직에 어떤 도움을 줄 수 있는지 자세히 알아보려면 다음과 같이 하세요. 필요한 보안 제어 구현 장기적으로 모니터링하고 유지 관리합니다, CloudGuard 무료 데모 신청하기.

 

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.