網路安全成熟度模型(CMMC)認證由美國國防部設計,旨在協助加強國防工業基地的網路安全態勢。 此前,國防承包商必須證明自己是 符合 NIST SP 800-171 – CMMC 的主要貢獻者。 CMMC 全面生效後,任何想要參與國防合約的組織都需要保持一定程度的 CMMC 合規性。
網路安全成熟度模型認證旨在保護作為國防合約一部分提供給組織的受控資料和其他敏感資料。 這包括聯邦合約資訊 (FCI) 和受控非機密資訊 (CUI)。
一旦該法規全面生效,任何計劃作為國防合約主承包商或分包商的組織都需要達到網路安全成熟度模型認證合規性。 所需的 CMMC 合規等級將取決於合約本身、組織在合約中的角色以及公司對作為合約一部分的 FCI 和 CUI 的存取權限。
CMMC 2.0的細節仍在製定中,該標準預計要到2023年5月才會推出。 屆時,國防合約將開始為期 5 年的分階段實施期,直到所有新合約都要求 CMMC 合規。
最初,網路安全成熟度模型認證包括五個層級的合規性,分為實務和流程。 然而,CMMC 2.0 標準的修訂版取消了這些流程,並將等級減少到以下三個:
這些修改消除了「過渡」階段 2 和 4,保留了三個漸進等級。 這些修改旨在降低與中小型企業 (SMB) 合規性相關的複雜性和成本。
修改後,CMMC 密切反映了 NIST 標準的合規性。 2 級合規相當於 NIST SP 800-171 的完整合規,而 3 級也源自 NIST SP 800-172。
組織必須達到的 CMMC 合規性要求等級取決於相關合約的詳細資訊。 然而,每個國防承包商都將被接受至少達到網路安全成熟度模型認證 1 級合規性,該認證涉及 FCI 的保護。 有權存取 CUI 的組織將需要更高層級的合規性。
合規性要求取決於所需的級別,包括:
由於 CMMC 2.0 仍處於開發階段,每個層級的特定合規要求仍在不斷變化。 然而,1 級和 2 級合規性所需的安全控制和流程的集合已經定義,使組織能夠在需要參與國防合約之前在實現合規性方面取得先機。
獲得 CMMC 認證的流程取決於所需的合規等級。 對於那些只需要自我評估的級別,CMMC 已發布了評估指南。 完成自我評估後,公司高級官員將需要每年確認公司的合規性。
對於需要第三方審核的 CMMC 合規性,組織需要與經過認可的第三方評估組織 (C3PAO) 以及可能的政府評估員安排這些審核。 經認可的 C3PAO 清單可在 CMMC Marketplace 上取得,參與和完成審核的流程將在接近 CMMC 2.0 生效日期時提供。
實現和維護網路安全成熟度模型認證合規要求在任何可存取 FCI 和 CUI 的系統上符合 NIST SP 800-171 和潛在的 NIST SP 800-172 合規。 要實現這一目標,需要實施所需的安全控制並證明持續的合規性。
Check Point 的 CloudGuard 系統 透過對企業合規體系進行持續監控,幫助組織實現並維持 CMMC 合規。 若要詳細了解 Check Point 如何協助您的組織 實施所需的安全控制 並長期監控和維護它們, 報名參加 CloudGuard 免費演示。
反映意見