CMMC.差距分析常见问题解答

您为网络安全成熟度模型认证做好准备的程度如何(CMMC.)第三方评估您所需的CMMC级别?真正知道的一种方法是:承担彻底的CMMC差距分析,AKA A CMMC准备评估。

CMMC.差距分析看起来像什么,以及如何帮助您的公司?看看这些常见问题解答:

CMMC.差距分析的目的是什么?

CMMC.差距分析有助于您测量您当前的NIST 800-171一致性状态,评估现有控件的有效性,然后针对您的业务尚未完全符合CMMC的位置。例如,您可以在以下地区出现:

  • 弱访问控制(例如,没有多重吸引力身份验证)
  • 不正确的数据存储和/或备份控件
  • 缺乏事故响应计划
  • 数据记录的不安全存储
  • 网络分割不足
  • 对管理员或商业用户的网络安全意识培训不足
  • 缺乏一些或全部实践和所需控制的有意义和客观的证据

差距分析结果将推动您的合规路线图或修复计划。如果您没有进行全面的差距分析,您将不知道以前需要更改使用C3PAO调度CMMC评估。 CMMC评估不是清单;它旨在验证OSC根据美国政府的期望和合同义务保护崔。评估的结果不是你想要毫无疑问的事情! (或达到机会)。

CMMC.差距分析需要多长时间?

您的CMMC差距分析需要的时间和精力取决于您的环境的大小和复杂性,您当前的安全姿势,您需要遵守的CMMC级别,可用于执行分析的人力资源,多少文件是在手工支持分析中,是否可以帮助回答问题,组织对在地点以及信息需求保护,等等的情况下的理解。

这一切都说,这是一个粗略的猜测:如果您的公司是单一位置的SMB和大约250名员工,其中25%的人将处理控制的未分类信息(),您需要符合CMMC级别3,您今天合理地接近遵守NIST 800-171,第三方CMMC差距评估可能需要2至4周。

CMMC.差距分析有哪些好处?

CMMC.差距分析将究竟需要在所需级别遵守CMMC所需,延长或修改的究竟是什么需要的控制,以及如何最好地接近缓解环境中的问题的建议。

拥有这些信息的一些好处包括:

  • 您将意识到您要充分遵守NIST 800-171的密切,这与CMMC级别非常相似..如果您您当前合同中的DFARS 7012条款,国防部可能会问你演示NIST 800-171合规性随时。
  • 您将有更大的保证,您可以在所需的时间表中实现CMMC合规性。
  • 您的团队将熟悉评估过程和所涉及的伪影。
  • 您将拥有更多的“证明”来确保您可以保证敏感数据安全的利益相关者。
  • 您将获得跨越CMMC预算计划的跳跃,其中尤其可以帮助您将合规性努力定位为“允许的成本“国防部将偿还。
  • 您将在CMMC合规性上开始,这可能更好地定位您获得新的合同。

 CMMC.差距分析中的关键步骤是什么?

虽然任何公司或安全顾问可能会在稍微不同的情况下执行CMMC差距分析,但这里有一些您可能期望在您的中看的步骤:

  • 审查您目前的所有文件,计划,政策,POA&Ms, etc.
  • 评估,访谈,练习和测试,了解您当前的安全控制如何与所需的CMMC级别的控制方式
  • 报告您的CMMC实施状态,包括任何缺陷
  • 共享调查结果和建议的包装

CMMC.差距分析对贵公司很重要吗?

CMMC.差距分析非常有价值 - 对于具有合理成熟的网络安全计划的企业,可能包含大多数所需的CMMC工件,例如风险评估和系统安全计划。如果您的安全计划尚未在该级别尚未获得此级别,则可能会从实施规划类型的方法中获得更多,这将有助于您将CUI环境的范围作为第一步。

您的公司何时需要为您的CMMC评估做好准备?

如果您在DIB内提供产品和服务,则您希望尽快准备好CMMC。在五年的时间表上,许多DIB公司至少有一年的CMMC评估准备。但是,遵守CMMC,特别是在3级或更高水平,将是许多公司的重要努力。

以下是您现在可以采取的一些步骤为CMMC提供准备:

  • 了解CMMC级别的技术要求,您需要遵守。例如,如果您将处理CUI,您需要获得至少CMMC级别3,而不是比NIST 800-171更多的控制。
  • 如果您需要第三方专业知识/支持以实现CMMC认证,则开始与安全供应商和服务提供商开始与安全供应商和服务提供商进行连接。
  • 查看NIST 800-171和/或CMMC合规状态,如您当前正在使用的电子邮件/文件共享或云服务,或者可能很快使用。
  • 草稿,构建,成熟您的SSP。开始记录网络安全策略,程序等如果您知道您将处理CUI。 (CMMC级别3需要控制文件; CMMC级别1没有。)
  • 开始安排您的CMMC计划,重新计算所需的工具和才能,以维护这些,预算和记录成本,希望国防部将偿还。
  • 保持当前新闻和更新在CMMC卷展栏上。

下一步

您的公司是否需要在3级或以上遵守CMMC?您是否不确定您今天遵守NIST 800-171吗?努力将您的自我评估分数提交给SPRS网站?您是否缺乏足够的资源来实施CMMC,并为您自己的CMMC评估做好准备?

如果任何这些问题的答案是肯定的,联系Pivot Point Security与专家交谈您的独特合规需求以及我们如何提供帮助。