CMMC. C3Pao常见问题解答

防御工业基地(DIB)和整个国防供应链(DSC)知道网络安全成熟度模型认证( CMMC. )安全评估是他们的未来。此评估过程以及巨大的CMMC卷展栏的所有其他组成部分,围绕一件事:CMMC-AB认证的第三方评估员组织(C3PAO)将被授权管理和执行评估过程和安全评估。

什么是C3PAOS,你需要了解什么?查看这些常见问题解答:

什么是c3pao?

C3PAO是一个服务提供商组织,即CMMC认证机构(CMMC-AB)已认证和授权进行CMMC评估,并向CMMC-AB提交调查结果和建议,以证明寻求认证(OSC)遵守CMMC的组织遵守CMMC到期水平(1到5)在给定的a中执行&D contract.

经过认证的评估员,领导评估团队和被授权参加的经过认证的专业人员,该专业人员将由任务进行CMMC评估服务的评估团队参加,每个人必须与C3PAO进行对齐(作为1099承包商或雇员)。

您公司聘请C3PAO的过程和时间表是什么?

如果您的组织需要实现CMMC认证,您将与C3PAO合同以管理您的评估过程。这 CMMC. 市场将是“授权培训,凭证和认证生态系统”,用于研究潜在的C3PAOS,只有CMMC-AB可以许可C3PAOS。

回到2020年6月,CMMC-AB为希望成为C3PAOS的组织开辟了注册。但是,所有的碎片尚未到位以完成该过程。所以目前没有正式授权的C3PAOS。根据CMMC-AB的“评估生态系统时间表,“商业评估应在2021年初获得。

什么是C3PAOS可能会收取评估费用?

根据委员会副秘书处收购和维持的CMMC 常见问题解答 ,“CMMC评估成本将取决于包括CMMC级别的若干因素,DIB公司网络的复杂性和其他市场力量。”作为基线,CMMC Point Person Katie Arrington估计CMMC级的成本1认证审计将在$ 3,000到5,000美元的范围.

根据您的环境的范围和复杂性,CMMC级别和“供需”,即可为可用审计员提供成本将更高。因此,为CMMC认证做好准备,而不是以后可以帮助您省钱。

请记住,C3PAOS将需要收回其费用,每个CMMC-AB指南将包括将自己的安全姿势证明至少CMMC级别3的费用,以及实现ISO 17021认证,加上各种CMMC-AB费用,并支付其认证评估员,他们可以是每小时承包商或员工的福利。

简而言之,在进行单一审计之前,每个C3PAO可能投入了20,000美元到150,000美元或以上。

您如何安排我们的CMMC评估?

一旦CMMC-AB开始授权C3PAOS,您将能够与您所选择的C3PAO通过选择评估 CMMC. -AB门户(当可用时),这将是CMMC市场的一部分。

您的业​​务是否可以成为C3Pao?

成为C3PAO意味着您的业务被认证,以便使用认证的评估员(CAS),以执行CMMC评估和CPS,以成为由CA领导的评估团队的一部分。第一个障碍是您的业务必须是100%美国公民拥有。一些其他需求包括购买适当的保险(包括网络责任保险),正在进行一个组织背景检查,拥有积极的DUNS,CAGE和SAM.GOV账户,通过个人的背景检查导致美国秘密安全许可的发布,至少介绍始终是一个CA,签署C3PAO许可协议并支付活动费用(第一年3,000美元)。

此外,潜在的C3PAOS需要证明遵守CMMC级别3或以上,验证其保护无限制信息的能力()并在适当的CMMC级别执行审核。

您如何准备CMMC评估?

在安排与C3PAO的正式评估之前,OSC需要准备他们的评估。主要步骤包括CMMC实践的文件和制度化。政策必须是最新的,进程必须强制执行策略,程序必须在策略和/或过程中所述的频率进行,并且必须收集客观证据,验证您的组织符合所需的CMMC级别的预期网络卫生。

您是否希望通过执行“差距分析”来识别您今天站立的位置并优先考虑下一步的符合CMMC合规性Pivot Point Security提供全方位的 CMMC. 合规服务,由CMMC-AB RP培训培训’S(待定CMMC-AB流程最终确定,以便正式说我们已获得认证RP,我们是第一个RPO之一)。继续监测 CMMC. -AB市场并寻找枢轴点安全性。目前,在这里联系我们了解我们如何提供帮助。