CMMC 认证指南

确保您将保留并增长我们的国防部业务

您的成功CMMC认证指南

- 实现NIST 800-171可提供一致性 -
- 保护崔 -
- 对您的素质的捕获团队不可抗拒 -
- 为您的CMMC认证审计准备好 -
- 成长您的业务! -

 CMMC 认证指南流程

国防部和CMMC AB继续提供更多关于CMMC如何推出的指导和细节。

保持机密政府/军事信息保护免于窥探眼睛对我们的国家主权和经济至关重要。

然而,处理敏感的政府数据(无论是直接还是作为供应链中的子承包商)的公司才需要“自我证明”与相关的DFARS / NIST SP 800-171指导的一致性......直到现在。

自我认证方法并没有很好地工作,这证明了违反关键政府信息的违约。这使美国国防部(国防部)和其他政府机构授权更高级别的认证;网络安全成熟度模型认证(CMMC)。

我们将呼唤自己的CMMC专家会令人沮丧。但是,我们是制定和管理符合政府和行业法规的信息安全和隐私管理系统的专家。我们帮助组织从500k美元到3亿美元,符合DFARS条款252.204-7012和NIST SP 800-171,其中CMMC级别3认证所需的130个控件中的110个覆盖110。因此,虽然CMMC是一种新的认证方案 - 准备CMMC认证的过程对我们来说是新的。

赌注很高......确保你有芯片留在游戏中

CMMC 认证将绝对要求赢得国防部RFP和/或已获得合同。对于由CMMC影响的许多SMB,国防部合同占他们的收入百分比,他们的收入制作百分比“大或回家”的命题。

CMMC 合规可以让你更强大

我们认为有一个达尔文元素到CMMC。这些组织可以“适应”新现实,不仅会生存,而且很可能是通过从不能适应的企业赢得业务的繁荣。是鸽子,不是渡漫。

CMMC 的新手?让你快速加快快速

网络安全成熟度模型认证( CMMC )是美国国防部(国防部)供应商的新网络安全标准。 CMMC将影响美国国防工业基地(DIB)的30多家公司。

CMMC 很重要,因为许多国防部承包商目前易受攻击。违反DIB的知识产权并继续降低美国国防优势,威胁我们的国家安全。

首次发布于2020年1月经过几年的发展,CMMC要求国防部承包商接受无关,第三方审计。根据CMMC的“成熟模型”中的五个级别中的一个衡量遵守情况,这与每个新国防部合同中规定的特定成熟度水平对齐。

什么是cmmc认证?

CMMC 认证过程通过第三方审计评估国防部承包商的网络安全态度。审计过程旨在验证公司的安全控制,政策和程序是否符合“合同规定的水平”CMMC标准。 CMMC的目标是改善承包商系统中敏感数据的保护,特别控制未分类的信息()和联邦合同信息( FCI. )。

CMMC 取代的安全评估计划允许企业自我证明其遵守情况 NIST SP 800-171. 按国防联邦收购规定的标准( DFARS. )在国防部合同中规定。除非明确要求这样做,否则DIB公司不需要提供合规证据。这一增强的安全漏洞,并以成本为具有重要的数据泄露,运营中断和知识产权盗用每年至少300美元.

CMMC 是与大学研究中心合作开发的,联邦资助R&D中心和行业专家。它将若干现有的安全标准统一到一个综合框架,包括NIST SP 800-171, nist sp 800-53 , ISO 27001. , ISO 27032. , 佛罗斯卡 AIA NAS9933. .

为什么CMMC认证很重要?

CMMC 对于DIB供应商来说是关键的,因为他们很快需要在五个CMMC水平之一实现CMMC认证,以参与国防部合同奖励。

基于2015年开始的DFAR,CMMC将逐步取代国防部的目前的网络安全合规计划。这种过时的方法要求遵守所有承包商的NIST 800-171,无论他们处理的数据的类型和数量如何。

许多承包商,特别是资源有限的SMB,已经挑战了解NIST 800-171要求,更不用说实施它们。其他人已经外包了他们的合规计划或雇用了重大专业知识,以维持在内部的合规性。

总体而言,NIST 800-171合规是宽松的,尽管国防部致力于在合同奖励过程中遵守竞争优势。而且,国防部加强了DFARS执法,罚款所声称符合要求的供应商根据虚假索赔,2019年超过2.5亿美元。

国防部正在寻求与CMMC认证的核心问题是错误地声称遵守其网络安全指南的公司,无论是故意还是无知。通过实现CMMC认证,国防部供应商将有理由具有适当的网络安全过程和控制权。 CMMC还向公司提供一种评估其当前环境成熟度的方法,以及如何逐步提高安全姿势的路线图。

谁必须实现CMMC认证?

任何组织的主要承包商或分包商 - 参与国防部合同需要在未来几年内实现一定程度的CMMC认证。甚至提供像保管服务等非技术服务的公司甚至需要展示“基本网络卫生”(CMMC级别1)。

处理CUI的企业需要认证到至少CMMC级别3,这大致对应于DFARS已经强制的“安全成熟日”。处理FCI但不是CUI的那些需要CMMC级别1认证。 “仅生产商业现货(婴儿床)产品”作为国防部合同的一部分购买的公司不需要CMMC认证根据国防部的说法。

CMMC 认证水平是多少?

CMMC 将网络安全性编制控制和过程组织成五个成熟度水平,该水平可保护对FCI和/或CUI的逐渐更高的风险。每个级别都包含前面的级别;例如,达到CMMC级别3认证意味着符合CMMC级别1和2.每个级别还包括相关的过程级别。

以下是五个CMMC级别的简要说明:

基本网络卫生(1级)专注于保护FCI。它仅包括指定的17种实践 48 CFR 52.24-21 ,基本保护覆盖的承包商信息系统。这些包括使用最新的防病毒软件以及提供网络安全意识培训的员工的基本控制。要在CMMC级别1级认证,供应商只需证明它可以以临时方式执行所需的实践,可能在没有随附的文档。

中间人网络卫生(2级)是从CMMC级别1转换到CMMC级别3的中间步骤3.在2级,必须记录流程,并应相应地实施。 2级还允许供应商实施55级,要求在3级保护CUI所需的控件。

良好的网络卫生(3级)专注于保护崔。它包括NIST 800-171 Plus中指定的所有110个控件20个额外的控制。为了获得CMMC级别3认证,企业必须表明它已记录并积极管理与既定计划对齐的网络安全政策和流程。今天符合NIST SP 800-171的组织不应找到CMMC级别3认证 hur .

主动(4级)公司寻求达到CMMC等级的公司是一个中间步骤5.在这个级别,公司必须证明他们可以积极捍卫CUI,以防止高级持续威胁(APTS)和其他持续的,复杂的和动态攻击。 4级需要实施超过CMMC级别的26个额外的控制。它还要求公司以持续/历史为基础评估其控制,文件威胁和答复的有效性,并采取纠正措施,以便在协调中检测和失败威胁。管理层。

高级/渐进(等级5)专注于保护崔从多向量,由政府赞助黑客安装的最先进的APTS。它需要审核,优化和标准化网络安全控制和流程的明显能力。要求强大的安全姿势,CMMC级别5包含超过现有水平的额外15种实践。这将是许多SMBS与内部职员和专业知识相遇的具有挑战性的水平。

什么是CMMC控制域?

CMMC 模型定义了17个控制域。其中许多来自NIST 800-171和相关的安全区域联邦信息处理标准(FIPS)出版物200加上三个额外的域名(资产管理,恢复和态势意识)。

17个CMMC控制域是:

  1. 访问控制 - 谁可以访问您的系统(包括远程访问)以及他们的角色和限制是什么?
  2. 资产管理 - 您可以找到,识别和清点您的资产吗?
  3. 审计和问责制 - 您是否可以跟踪访问您的CUI的用户,因此他们对他们的行为负责?
  4. 意识和培训 - 所有员工都有安全意识培训吗?
  5. 配置管理 - 您是否可以为系统提供配置基准,以便您可以衡量其有效性?
  6. 标识和身份验证 - 您的组织是否具有适当定义的角色具有适当的数据访问级别,包括报告和问责制的流程?
  7. 事件响应 - 您是否有事故响应计划,该计划将如何检测,报告和响应事件,包括发布事件分析?
  8. 维护 - 您是否具有维护和操作网络控制的程序?
  9. 媒体保护 - 您的媒体是否确定并标记为快速访问,您是否有媒体保护,运输和处置协议?
  10. 人员安全 - 有员工得到了妥善筛选,您是否有控制在员工营业额期间保护CUI的地方?
  11. 物理保护 - 您是否已经提供了足够的身体安全保护您的资产?
  12. 恢复 - 您是否具有强大的测试过程,用于制作和记录备份以保护您的敏感数据免受数据丢失和损坏?
  13. 风险管理 - 您是否有程序定期识别和评估您的FCI和/或CUI的风险,包括与供应商相关的风险?
  14. 安全评估 - 您是否有系统安全计划?
  15. 情境意识 - 您是否有威胁监控系统?
  16. 系统和通信保护 - 您是否可以在系统界限上进行可核实控制通信?
  17. 系统和信息完整性 - 您是否可以有效监控您的环境,以识别和缓解漏洞和缺陷?

 

您的公司如何获得CMMC认证?

与当前的DFARS场景不同,它将逐渐取代,任何级别的CMMC认证 涉及奥迪 T通过认证的评估员(CA)为认证3 rd. -Party评估员组织(C3PAOS)。 CMMC认证体(CMMC-AB)授权C3PAOS.安排和对寻求认证(OSC)的组织进行评估。

要获得认证,第一步是识别您的业务需求遵守的CMMC级别,如您所竞争的合同中所述。这决定了评估的合规性要求。

接下来,您需要选择C3PAO并安排评估。您的CA将在您的特定级别的要求中确定安全姿势中的任何漏洞和差距。根据发现的严重程度,您可能需要在认证或建立行动和里程碑计划之前纠正问题(POA&M) for doing so.

公司在特定水平上成功成功地实现了CMMC认证将是一个公共纪录的问题。其他特定于审计的其他信息,包括未能认证工作和审计结果,将不会公开。

CMMC 推出的当前时间轴是什么?

尽管Covid-19,CMMC卷展栏很大程度上在迄今为止的轨道上。特别是,CMMC-AB正在运行,并启动培训专业人员和评估和认证供应商所需的程序。现在正在释放包含CMMC要求的信息(RFI)的少量选择请求,并在2020年底之前进行提案(RFP)的请求。

在2021年初,仍计划指定CMMC合规性的第一份合同奖励,其中CMMC要求在所有新的RFIS到2026年之前。DoD表示,它不会修改现有合同以插入CMMC合规要求。

以下是CMMC时间轴上的一些重要里程碑:

  • 1月2020年1月 - 国防部推出了CMMC版本1.0。 (现在在版本1.02)
  • 2020年6月 - CMMC-AB宣布各种计划要求,并为C3PAOS,CAS和其他专业角色开放注册。
  • 7月2020年7月 - CMMC-AB为许可的合作伙伴出版商(LPP)的登记,将为CMMC审计师和顾问进行培训。
  • 夏季/秋季2020年 - 管理和预算办公室(OMB)将批准对DFAR的规则变更允许国防部授权CMMC符合RFIS和RFPS。
  • 秋季2020年 - RFIS和RFP中的CMMC语言的分阶段卷展览将开始。
  • 2021-国防部预计7,500家DIB公司将在2021年底达成CMMC认证。
  • 2022-2026-新的DFARS授权CMMC认证将逐步取代指定NIST 800-171合规性的剩余DFARS。
  • 按Eoy 2026-CMMC认证将是所有300,000多个国防部供应商的要求,而自证明NIST 800-171合规性将不再在国防部合同中生效。

你什么时候需要为cmmc做好准备?

虽然CMMC框架的全面执行仍然是一年或更长的大多数DIB公司,但国防部承包商应该立即采取措施熟悉CMMC技术要求和评估计划。许多供应商需要投入大量时间和努力(在大多数情况下至少六个月),以评估其目前的安全姿势,并在3级或以上筹备CMMC评估。

以下是您的业务可以采取的一些型号步骤,以帮助确保平滑的CMMC认证过程:

  • 确定您最终需要达到的CMMC级别。
  • 查看该级别的技术要求。
  • 开始 将您当前的环境与NIST对齐800-171作为国防部可能会要求您随时展示合规性。此外,这将使您实现CMMC级别3认证,相对容易实现。
  • 与可信的第三方信息安全顾问联系,以支持CMMC计划,差距评估和实施如果您计划外包进程的某些部分。
  • 在其CMMC和NIST 800-171合规性状态下与相关的供应商(例如,电子邮件和文件共享服务提供商,云服务提供商)进行办理入住手续。
  • 进行CMMC“准备评估”和/或“差距分析”,因此您可以优先考虑导致“修复计划”或合规路线图的后续步骤。
  • 开始记录您的网络安全实践和策略,因为您需要最终需要执行此操作,如果您处理CUI。
  • 开始 规划预算对于CMMC认证,包括咨询费,内部资源,软件购买,审计成本等。请记住,国防部已表示CMMC认证将是一种“允许的成本”,因此可偿还。
  • 通过检查像在线来源的关于CMMC卷展览的新闻 CMMC FAQ Page. CMMC-AB网站 .

因为在选择捕获团队时,PRIMES已经看CMMC和NIST 800-171合规性,因为慢慢响应CMMC和/或基于他们的第一次评估而无法实现认证的公司可能无法参加合同或提供产品一段时间到国防部的服务。

现在是时候熟悉CMMC要求,与合规专家联系并开始将网络安全控制和策略与CMMC框架进行调整。虽然CMMC认证对于许多国防部供应商来说,该过程将支持采用网络安全的最佳实践,即所有企业都必须在今天确保客户,管理和其他利益相关者可以保护敏感数据。