CMMC 一本通
当您在联邦级别开展业务时,需要满足相应法规和要求。话虽如此,实施控制措施和实现合规说起来容易做起来难,尤其是在网络安全成熟度模型认证 (CMMC) 方面。
不确定从哪里开始?我们时刻准备为您保驾护航。请继续阅读以完整了解 CMMC,以及您的组织如何更轻松满足合规要求。
什么是 CMMC?
网络安全成熟度模型认证计划是一种验证机制,旨在确保所有国防工业基地 (DIB) 公司实施适当的网络安全实践。根据美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-171,CMMC 框架将所有 DIB 承包商统一在一个可认证的安全标准之下。
简而言之,美国国防部 (DoD) 的所有军事任务合作伙伴都必须根据某些变量采取相同的安全控制措施。无论如何,任何竞标国防部合同的政府承包商都必须获得 CMMC 认证,从而验证他们已满足要求。
为什么创建 CMMC?
2016 年 10 月,美国国防部发布了国防部联邦采购条例补充 (DFARS) 条款 ,标题为《保护涵盖的国防信息和网络事件报告》。根据该法规,国防承包商只需要自我证明自己的网络安全成熟度。
但是,审计往往不准确且很少进行,导致合规性不一致。因此,国防部机构无法保证其任务伙伴正在采取一切必要措施保护政府资产。
为了摆脱这种自我认证模式,国防部于 2019 年推出了 CMMC。它于 2020 年 11 月开始将 CMMC 标准纳入国防部的合同要求。
为什么 CMMC 合规性很重要?
CMMC 框架的目的是保护政府信息免遭未经授权的访问和泄露。更具体地说,它要求采取措施保护两种类型的数据:
- 受控非密信息 (CUI):受控非密信息是指任何不具有机密状态但由于特定的政府政策和法令而仍需要保护的数据。CUI 可能涉及关键基础结构、财务记录、国防和其他敏感领域。
- 联邦合同信息 (FCI):相比之下,FCI 是根据合同由美国政府提供或生成,但尚未标记为公开发布的信息。尽管联邦合同信息不像 CUI 那样敏感,但仍必须受严格保护。
随着针对政府机构的网络攻击越来越多,CMMC 合规性已变得至关重要。由国家支持的黑客攻击带来的损失可能尤其高,平均每次攻击造成的损失为 443 万美元。 更糟糕的是,考虑到政府数据的性质,这些攻击可能危及美国的利益,包括国家安全。
获得 CMMC 认证有什么好处?
国防承包商必须遵守 CMMC 的要求。这不仅是所有军事任务合作伙伴的必备条件,而且还是一种竞争性的业务优势。例如,获得 CMMC 认证可以:
- 帮助您对国防部合同进行投标
- 为机构客户提供高水平的保障
- 增强您的网络弹性并最大限度地减少风险敞口
什么是 CMMC 2.0?
美国国防部于2021年11月宣布了更新和简化 CMMC 框架的计划。目的是使承包商更容易实施和遵守 CMMC 标准,同时简化认证流程。
它将其框架整合为更统一、更全面、更易于理解的版本:CMMC 版本 2.0。未来,到 2025 年 10 月 1 日,美国国防部将要求合同授予都需要至少一定程度的 CMMC 认证。
CMMC 合规的工作原理是什么?
CMMC 使用分层系统组织其需求。尽管原始版本包含五个独立级别,但 CMMC 2.0 将框架简化为三个。
这些级别根据承包商(和分包商)对 FCI 和 CUI 的处理方式设定。通常,您处理的敏感信息越多,您的合规性要求就越严格。
因此,每个级别都有自己的流程、实践和评估程序,每一级别都比上一级别更严格。
- CMMC 1级(基础):通过自我评估验证 17 种做法。
- CMMC 2 级(高级):110 项做法符合 NIST SP 800-171,并经过三年一次的第三方安全评估的验证。
- CMMC 3 级(专家):110 多项基于 NIST SP 800-172 的做法,并通过政府主导的三年一次的安全评估的验证。
CMMC 还将特定的网络安全实践分为 14 个领域,具有 43 项能力。在这种情况下,"能力" 一词是指国防部承包商必须根据相应级别实施和管理的安全控制措施。CMMC 域包括:
- 访问控制
- 审计和责任
- 意识和培训
- 配置管理
- 身份识别和身份验证
- 事件响应
- 维护
- 介质保护
- 人员安全
- 物理保护
- 风险评估
- 安全评估
- 系统和通信保护
- 系统和信息完整性
Entrust 可以提供相关解决方案,在以下 9 个 CMMC 域提供相关合规帮助:
功能
- 建立系统访问要求
- 控制内部系统访问
- 控制远程系统访问
- 限制对授权用户和流程的数据访问
- 定义审计要求
- 执行审计
- 识别和保护审计信息
- 查看和管理审计日志
- 建立配置基线
- 执行配置和变更管理
- 授予对经身份验证实体的访问权
- 管理维护
- 识别并标记介质
- 保护和控制介质
- 清理介质
- 传输期间保护介质
- 限制物理访问
- 定义系统和通信的安全要求
- 控制系统边界的通信
- 识别并管理信息系统漏洞
- 识别恶意内容
- 执行网络和系统监控
- 实施高级电子邮件保护
如何获得 CMMC 认证?
CMMC 评估过程十分严格。开始合规之旅时您可能感到很困难,但是有了精心策划的清单, 您就可以一步一步地采取行动。
我们来逐一回顾一下,以帮助您开始:
- 确定您的 CMMC 等级:您的最低网络安全成熟度级别取决于您如何处理 FCI 和 CUI。清点您的系统、网络和流程,以准确确定您在何处以及如何接触这些数据。
- 完成自我评估:进行 CMMC 差距分析,以检测不符合最佳实践的漏洞或改进领域。
- 制定系统安全计划 (SSP):SSP 需要获得 CMMC 认证。SSP 描绘您的安全局势和控制能力,使您能够确定环境的边界,环境与其他系统的连接位置以及执行特定要求时您能做到多好。
- 投资面向未来的工具:您可能会发现自己的网络安全态势存在漏洞。做好部署其他解决方案的准备,以应对各种情况并满足您的 CMMC 合规性要求。
- 聘请第三方审计师:CMMC 审计必须由注册执业者、注册提供者组织或第三方评估组织 (3PAO) 完成。
- 保持合规性:获得认证后,您必须实施持续监控,以便及时发现漏洞,并确保安全控制措施继续按预期运行。
使用 Entrust 解决方案简化合规流程
如果您是国防部承包商,则必须遵守合规要求。遗憾的是,这并不容易。
但是,有一些方法可以简化流程,加强防御,并让您获得和维持 CMMC 认证。让 Entrust 成为您的专家合作伙伴,您可以部署一系列解决方案,不仅可以让您为 CMMC 做好准备,还可以帮助您经得起未来的安全考验。
从身份和身份验证到介质保护、访问控制等,我们可以帮助您轻松简化 CMMC 域。无论是通过 Entrust 公钥基础结构还是 Entrust 身份即服务,您都可以放心:您和您的国防部合作伙伴都将受到良好的保护。