美國國防部(DoD)於2020年1月31日發布了網路安全成熟度模型認證(CMMC) 第一版,新框架旨在保護聯邦合約資訊(FCI)和受控非機密資訊(CUI),並將適用於所有國防部承包商或分包商。該法案的出台是為了應對一系列網路安全事件,這些事件危及承包商資訊系統中的敏感國防資訊。
其中最新的一次是 2020 年底發現的災難性的Solarwinds資料外洩事件,影響了不少於 9 個聯邦機構,並表明需要 CMMC 等框架來應對快速演變的威脅情況。
預計國防工業基地 (DIB) 供應鏈中開展業務的 30 萬家公司將受到 CMMC 推出的影響,並需要獲得 CMMC 認證。這將包括供應鏈各個層級的供應商,從小型企業到外國供應商和商業專案承包商。唯一無需進行 CMMC 認證的公司是那些生產商用現貨產品的公司。
CMMC 框架的最終版本預計將於 2021 年底發布,但希望加入或繼續成為 DIB 供應鏈一部分的組織不應浪費時間實現合規性,因為在提交所有國防部投標時都需要完全符合 CMMC 合規性。最好的起點是 CMMC 合規性檢 電話號碼 查表,它可以幫助公司實現最終目標。以下是成功建立該解決方案的秘訣:
評估您的 CUI
了解您的資料以及其中哪些部分受 CMMC 約束是實現 CMMC 合規性的重要一步。受控非機密資訊 (CUI) 涵蓋多種不同類型的信息,包括稅務相關數據、敏感情報資訊、專利和智慧財產權。
為了讓公司正確地確定他們需要達到哪個等級的 CMMC 合規性,必須確定他們收集什麼 CUI、如何處理和儲存這些 CUI。組織可以使用資料遺失防護(DLP) 工具等解決方案來發現、監控和分類 CUI。
確定您的 CMMC 成熟度級別
CMMC 有五個認證等級。每個等級都建立在上一個層級的基礎上,這意味著,例如,第 2 級的要求包括第 1 級的所有要求。由於不同合約的成熟度等級可能有所不同,因此對於公司來說,盡可能達到最高等級的 CMMC 認證非常重要。
目前,似乎 DIB 供應鏈中的大多數組織可能需要 CMMC 1 級或 CMMC 3 級認證才能繼續與國防部合作。國防部為第 1 級和第 3 級提供了一系列附錄和評估指南,公司可以使用這些附錄和評估指南來幫助確定他們需要或應該達到的級別,以確保他們能夠參與未來的競標。
利用 NIST 800-171 和其他現有框架
大多數與聯邦機構和國防部合作的公司都已經受到某種形式的資料保護合規要求的約束。其中最著名的是NIST 特別出版物 800-171 ,但也包括ISO 27001或聯邦資訊安全現代化法案(FISMA)等標準和法律。
許多現有的標準和法規的要求與 CMMC 控制重疊,尤其是在較低的合規層級。例如,CMMC 1 級由 17 種基本網路安全控制組成,例如使用防毒軟體和定期更改密碼,許多公司可能已經實施了這些控制。
NIST 800-171 合規性對於 CMMC 合規性特別有用,因為該特殊出版物是 CMMC 框架的基礎之一。事實上,如果一家公司符合 NIST 800-171 標準,那麼它就已經符合 CMMC 1 級和 2 級標準。然而,一旦公司以更高水準的 CMMC 合規性為目標,CMMC 就會比 NIST 800-171 更進一步,實施額外的控制。話雖如此,NIST 800-171 涵蓋了 CMMC 控制中最高數量(171 個)的 110 個控制(包含在第 5 級中),這使其成為合規工作的絕佳起點。
彌補差距
一旦組織決定了其所針對的 CMMC 等級並確定了其已經根據其他框架實施了哪些控制,就需要填補現有措施和剩餘 CMMC 控制之間的空白。
這可能需要製定新的組織標準、政策和程序。組織的 IT 基礎架構可能需要進行修改以適應這些情況。也可能需要解決安全盲點並滿足 CMMC 安全標準的新軟體和 IT 安全解決方案。
獲得 CMMC 認證
根據 NIST 800-171,國防部承包商可以自我認證,只要在行動計劃和里程碑中發現並列出任何安全漏洞,他們就可以繼續提供產品和服務,而無需遵守所有 NIST 800-171 安全控制。 CMMC 已經消除了這兩個漏洞。
CMMC 認證流程現在將由 CMMC 認證機構 (CMMC-AB) 與國防部直接協調處理。他們共同製定了程序來認可獨立的 CMMC 第三方評估機構,這些機構將評估和認證 CMMC 級別。所有希望參與國防部投標的公司都需要出示其中一位認可評估員頒發的 CMMC 認證。
- Board index
- All times are UTC
- Delete cookies
- Contact us