什么是系统安全计划(SSP)以及为什么需要一个用于CMMC合规性?

免费可下载模板下面

如果您的组织与美国国防部(DOD)合同,国防联邦收购监管补充剂( DFARS. )在您的合同中,您需要系统安全计划(SSP),请参阅CMMC练习,CA.2.157和NIST 800-171安全要求3.12.4。

您的SSP的重点是让任何人展望您的网络安全姿势的可读概述您的安全要求和您已经到位的控件以满足这些要求。

按照国防部的合规性评估指导,对您的SSP的审查旨在确保在合同奖励之前遵守您的DFARS。

在这方面,它’很简单......没有SSP?没有国防部合同!

SSP一直是NIST 800-171安全要求的一部分,由DFARS 7012,一致,以及国防部的新网络安全成熟度模型认证( CMMC. )也要求它。 CMMC练习CA.2.157(即,安全评估(CA)域中的CMMC实践157,适用于CMMC级别2和更高版本)指定您必须:

开发,文档和定期更新系统安全计划,描述系统边界,操作系统的系统环境,如何实现安全要求,以及与其他系统的关系或连接。

ca.2.157的意思是什么? CMMC 附录B. 解释:

A 系统安全计划(SSP)是一份概述组织如何实现其安全要求的文档。 SSP概述了安全人员的角色和责任。它详细介绍了组织所遵循的不同安全标准和指导方针。 SSP应包括高级图,显示连接系统如何相互交谈。该组织应在其SPP其设计哲学中概述。设计哲学包括深防御策略以及允许的接口和网络协议。 SSP中的所有信息应高级别。在计划中包含足够的信息来指导组织系统的设计实施。参考SSP中的现有策略和程序。

系统安全计划常见问题解答

我们是否需要在这一点上拥有系统安全计划?

美国国防工业基地(DIB)中大多数供应商都知道,CMMC是国防部对LAX安全的回应,从800-171到NIST 800-171,没有审计威胁,从而很小的激励才能关闭计划行动& Milestones (POA&Ms).

但国防部不等待全尺寸的CMMC卷展栏才能提升安全赌注。截至2020年11月30日,国防部承包商和分包商必须发布分数表明他们对全部NIST 800-171的进展联邦数据库 在合同奖励或续订现有合同之前.

哪些信息需要成为我们的系统安全计划的一部分?

您可能知道,NIST 800-171和CMMC都是关于保护控制的未分类信息()所以你的SSP应该专注于CUI。您的SSP应明确沟通的一些信息包括:

  • 清除您的业务的定义和一个&D boundaries
  • 崔 你的商家句柄,以及你对它的作用
  • 在哪里,何时以及通过您存储,进程和/或传输CUI的具体进程
  • 您到位的所有控件以保护CUI,包括人们应遵循的程序
  • 如果有的话,在您的合规姿势中已知差距
  • Poa.&MS关闭那些差距

简而言之,您的SSP是汇编文件,这些文件集体绘制了CUI环境的图片,相关的网络安全要求和您所在的控件或计划保护CUI的控制。

我们如何创建系统安全计划?

对于大多数公司,创建SSP需要四个基本步骤:

  1. 收集描述当前系统的文档,策略,程序等,用于CMMC或NIST 800-171合规性评估的“范围内”。这可能是您的整个IT环境或它的子集。
  2. 获取负责系统安全性的人员的输入,例如,系统管理器,系统运营商,数据所有者等,以确保文档与您的环境的当前状态匹配。
  3. 如果您的文档中存在差距,您需要根据访谈,研究等填写这些。
  4. 每个国外建议,将SSP的所有组件放入模板中以确保它是正确的,完整且组织良好的。没有“官方”或必需的SSP模板,因此我们为您创建了一个易于使用,以帮助确保合规性。

假设您有足够的专业知识和带宽,您的内部IT /安全人员可以填写您的SSP模板。对该方法的缺点可能是缺乏客观性,以识别审计员稍后发现的空白。

另一种选择是参与第三方专家来帮助处理该过程。这不仅可以花费更少的时间和金钱而不是DIY方法,而且还可以确保结果符合要求,并且对审计员有用。

谈论SSP的需求以及我们如何提供帮助,联系Pivot Point Security.

来自NIST的SSP模板:

来自NIST的SSP模板

Poa.M Template from NIST:

Poa.M Template from NIST