CMMC 功能是什么?

您的业​​务是否需要为网络安全成熟度模型认证做好准备( CMMC ) 审计?该业务关键过程中的第一步之一是熟悉CMMC框架,包括其结构和关键术语。

如果你看了看最新版本的cmmc模型,版本1.02文档,您知道CMMC是一个“成熟模型”,它在五个成熟方面定义了合规性 水平 和相关成熟 流程 。 CMMC框架组织173 实践 (AKA控制)进入17域名(包括NIST SP 800-171所规定的“家庭”)。要添加一些额外的结构,每个域内的实践都映射到总共43个 能力 .

关于CMMC功能的全部是什么?我们希望您能找到这些常见问题解答。

43级CMMC功能是什么?

值得注意的是,国家标准与技术研究所( NIST ),将能力定义为“通过技术,物理和程序手段实现的一组相互加强安全控制。通常选择这样的控制以实现与普通信息相关的目的。“

此表显示了43 CMMC功能如何适合17个CMMC域:

领域
能力
访问控制(AC) ·建立系统访问要求
·控制内部系统访问
·控制远程系统访问
·将数据访问限制为授权用户和进程
资产管理(AM) ·识别和文件资产
审计和问责制(AU) ·定义审计要求
·执行审计
·识别和保护审计信息
·查看和管理审计日志
意识和培训(AT) ·进行安全意识活动
·进行培训
配置管理(cm) ·建立配置基线
·执行配置和更改管理
识别和认证(IA) ·授予对经过身份验证实体的访问权限
事件响应(IR) ·计划入射响应
·检测和报告事件
·制定并实施对宣布事件的回应
·执行岗后的评论
·测试事件响应
维护(MA) ·管理维护
媒体保护(MP) ·识别和标记媒体
·保护和控制媒体
·消毒媒体
·在运输过程中保护媒体
个人安全 ·屏幕人员
·在人事行动期间保护CUI
物理保护(PE) ·限制物理访问
恢复(重新) ·管理备份
风险管理(RM) ·确定和评估风险
·管理风险
安全评估(CA) ·开发和管理系统安全计划
·定义和管理控件
·执行代码评论
情境意识(SA) ·实施威胁监控
系统和通信保护(SC) ·定义系统和通信的安全要求
·控制系统边界的通信
系统和信息完整性(SI) ·确定和管理信息系统缺陷
·确定恶意内容
·执行网络和系统监控
·实施高级电子邮件保护

一些域不会为每个级别指定每个能力的实践。例如,一些功能仅在更高的CMMC成熟度水平中发挥作用。但是,由于CMMC实践累计跨越级别,因此在更高的水平下将需要所有较低级别的实践。

例如, 在资产管理(AM)域名,能力C006,管理资产库存所需的实践,直到4级。这意味着CMMC认证在1,2或3级,不授权遵守该C006能力的任何实践。然而,在4级(因此也在5级),需要实践AM.4.226。在5级没有授权进一步的实践,因此5级的此能力认证需要您仅实施AM.4.226。

43 CMMC功能的目的是什么?

CMMC 实践在顶级组织成域。然后将每个域细分为一组或多组技术功能。该功能描述了证明在每个域内满足网络安全要求的可取性。

我们必须遵守CMMC功能吗?

为了具体证明遵守每个能力,一个寻求认证的组织( osc. )必须证明它遵守各种实践(行政,技术,政策和流程控制),包括根据适用的CMMC成熟度所需的实践所需的指标。

我们如何利用CMMC功能来帮助我们获得认证?

当您在环境中查看/比较CMMC标准时,该功能为每个CMMC域内的[最佳]实践提供了额外的结构。这些“子群”可以帮助您判断您的组织是否已实施,并在文化上采用,特定的实践集。

例如,如果您是逐个逐步浏览域和功能,则可能在“访问控制(AC)域内的”建立系统访问要求“功能中以练习AC.1.001开头。随着您的方式,您可以在与您所选择的CMMC级别相关的每个能力(或个人实践)的状态;例如,作为“实施”,“未实现”,“不在范围内”等。

下一步

许多DIB公司缺乏足够的内部专业知识和资源,为自己的CMMC评估做好准备,特别是如果他们需要遵守CMMC 3级或以上(处理所需)控制未分类的信息 或cui)。

与CMMC专家联系,讨论您的特定CMMC合规性问题,联系Pivot Point Security.