LINKEDIN
Share
阅读时间: 5 分钟

最后更新于2020年8月5日

CMMC.成本

I was tempted to start this blog with a flip comment, like “How the #$%&*@ am I supposed to know? The #$%&*@ auditor program doesn’t even exist yet!!!â€

但是,我们无所畏惧的营销领袖杰里米告诉我,在博客中使用这种语言可能被认为是不合适的,我们的客户真的正在寻找至少一个估计。所以这里还有估计

所有开玩笑,此时回答了这个问题需要时间旅行或猜想。由于我只有熟练的后者,因为我认为我们可以采取一些非常好的受过良好教育的猜测。

对于大多数组织而言,获得CMMC认证可能会有三个主要成本:

1.为审计准备的软成本(例如,内部资源或外部咨询费用)
2.为审计准备的艰难成本(例如,支出达到暹粒或双因素认证等特定要求)
3. CMMC审计本身的努力成本(例如,已核查审计员的费用,可能是持续费用的持续费用)

让我们更详细地检查这些成本。

您的实际成本将取决于许多因素,包括但不限于您当前NIST SP 800-171程序的成熟度,组织的大小,无论您需要外部支持,还有多少个位置,CMMC.级别,您正在进行,以及控制的未分类信息(CUI)的范围。 CUI范围是多少地理位置,系统,数据库,应用程序和网络存储,过程或过境CUI。它也受到崔开的人数的影响。为了简化,让可以将上述内容分成两个桶,并假设CMMC级别3,这可能是最常见的目标:

具有合理的NIST NIST SP 800-171的组织兼容环境

    • 咨询费用:您可能希望进行CMMC差距评估(可能被称为准备评估)。对于具有若干地点的典型250人工程/制造公司,其800-171程序集中管理,合理的估计为15,000-35,000美元。定价与ISO 27002差距评估相当,这是一个合理的代理CMMC级别3(130个控件)的大小和方法,因为ISO 27002盖114控制。范围的上端和下端之间的差异与采样率有关,以及技术测试是否包括在工作中的工作量。如果您需要支持差距修复,可以根据调查结果占据大幅度的范围。在更成熟的环境中,0-10,000美元是合理的估计。如果你的成熟程度不如你想象的,那么0-25,000美元是合理的估计。专家提示–如果您没有最新的风险评估和系统安全计划,则您不会有一个合理的成熟环境。
    • 准备的硬成本:如果您合理成熟,您可能需要花费很少的硬成本来获得准备。在其中棘手的情况下,DIB中的许多是使用Office 365或Gsuite。不幸的是,这些服务的商业版本不是CMMC L3认可的,您需要搬到他们的云版本的云层。这可能会导致迁移成本(高达50k美元)和/或双倍(甚至三人)您每月重现这些服务的费用。我们有一个播客,讨论了一种可能感兴趣的替代方法。 专家提示–如果您在最近五年内为端点保护,多因素认证,日志监控/ SIEM等进行了最近五年来说,您将无法合理地成熟。
    • 审计的艰难费用:Â这个问题有点难,因为审计过程还没有任何指导。如果我正在设计审计计划,我会将其设置为来自共享评估的标准化控制评估。它基本上是一个完全定义的审计计划,包括要提出的问题,以收集,采样率和规定的报告格式。假设审计计划遵循这种性质的模型,审计师的定价应该相当一致。最佳猜测:$ 20,000 - 40,000美元。我们最近在播客中拥有CMMC-AB的伙伴,基于该讨论,我理解这一规模的成本可能处于较低的中间端。

Don-™T的组织具有成熟的SP 800-171兼容环境

    • 咨询费用:您可能希望从Cui范围练习开始(试图最大限度地减少范围和相关成本)和风险评估(CMMC的要求)首先。这将确保您对GAP评估具有正确的上下文。对于具有多个地点的典型250人工工程/制造公司,良好的估计是30,000-50,000美元。定价与建立一个基础ISO 27001.或者SOC 2信息安全计划,这是一个合理的代理,就规模和方法而言。该范围的上端和下端之间的差异与当前成熟度,CUI范围和项目方法有关。如果您需要支持差距修复,可以根据调查结果的大大范围内容。在成熟的环境中,10,000美元的环境较少,是合理的估计。采取这种方法产生所需的风险评估,并建立成型的基础范围所需的系统安全计划。
    • 准备的硬成本:这里的成本取决于您在环境中实施的技术。CMMC级别3表面上需要移动设备管理,日志监控/ SIEM,安全意识培训,多因素身份验证,数据备份,代码审查和高级电子邮件保护。最可行的组织将有一个相当数量的这些工具。最佳案例:$ 0。典型案例:$ 20,000 - 60,000美元。最糟糕的情况:100,000美元。作为一个例子,我本周与一个客户在一个100人公司的客户中发言,这是一个非常成熟的NIST SP 800-171的环境,其成本从头开始达到170,000美元。这与我漂浮的范围一致。
    • 审计的艰难费用:如上所述,最佳猜测:$ 20,000 - 40,000美元。

所以我在这篇文章中引导了Nostradamus一点,这可能会让你关心我的估计的真实性。我想我可以留下那些担心的恐惧。我在大学里约会一个读塔罗牌的女孩,我们都知道更多科学比艺术:>)

我打电话给她帮助博客,我画了这件幸运的卡片,这对我的预测来说非常积极地翻译:“很有可能,你会发现事件预言是积极的,但是,是运气的方面,它们也可能超出您的控制和影响力。倾向于关心的东西,并学会不要痛苦地痛苦。

我认为这意味着我是对的。 (公平警告:我一直认为我是对的:>)

但是,我的朋友谨慎地谨慎发布我们的谈话,因为,未来的事件将是消极的,如果在你的控制中的运气方面,你的妻子应该恰好阅读这个博客并找出你与旧的火焰联系。Â#yolo

LINKEDIN
Share

CMMC.认证指南CMMC.认证指南
符合国防部网络安全成熟度模型认证(CMMC)的简单指南

CMMC.认证指南将为您提供快速且易于消化的CMMC和我们用于帮助客户成为CMMC兼容的过程的快速且易于消化的介绍。