网络安全成熟度模型认证 (CMMC)
电子书: 做好 CMMC 准备
什么是 CMMC?您所在的组织需要采取哪些行动为此做好准备?以及哪些 Entrust 解决方案有助于您做好 CMMC 准备?阅读本电子书了解更新信息。
Entrust 可助力 CMMC 合规工作,因此承包网络可以继续支持美国国防部和其他政府机构。
网络安全成熟度模型认证 (CMMC) 是由美国 国防部 (DoD) 制定的一项计划,通过要求对 14 个不同领域(每个领域都有三个指定级别的认证)的外部承包商进行认证,保障和保护联邦合同信息 (FCI) 和受控非密信息 (CUI) 的安全。
CMMC 是在美国国防部承包网络中实施网络安全的统一标准,其中包括供应链中的 30 多万家公司。为应对承包商信息系统所含敏感国防信息遭到重大入侵,美国国防部采取了 CMMC 这一流程。
- 发布日期为 2020 年 1 月 1 日。
- 自 2020 年 11 月 30 日起,DoD 开始将 CMMC 要求纳入选定的 RFP/RFI。
- 到 2025 年 10 月 1 日,所有国防部合同授予都需要至少一定程度的 CMMC 认证。尽管美国国防部是 CMMC 的推动者,但它现在正在美国国防工业基地 (DIB) 中获得广泛应用,包括国土安全部和其他联邦政府部门和机构,特别是在 SolarWinds 之后。
对于 CMMC 合规,您是否已做好准备?
承包商负责实施、监控和认证其信息技术系统以及通过这些系统存储或传输的任何敏感国防部信息的安全性是由来已久的惯例。
自 2020 年 11 月 30 日起,美国国防部开始将 CMMC 要求纳入选定的 RFP、RFI 和研究合同。到 2025 年 10 月 1 日,所有国防部合同授予都需要至少一定程度的 CMMC 认证。此模型包括三个成熟度级别:基础级、高级和专家级,根据所处理信息的类型而定。每个级别也有不同的评估要求,包括自我评估、第三方评估或政府主导型评估。Entrust 的数字安全产品组合(包括身份、证书和数据保护解决方案)有助于在三个可能的认证级别中遵守 9 个 CMMC 域。
确定组织需要何种级别成熟度的关键问题
组织是否要处理联邦合同信息 (FCI) 等基本信息?或是受控非密信息 (CUI)?FCI 要求 1 级认证,但 CUI 要求至少 2 级。
组织当前的网络安全态势与所需 CMMC 级别之间的差距体现在何处?差距评估对于确定实现 CMMC 网络安全成熟度的行动计划和里程碑至关重要。
CMMC 涵盖了 NIST SP 800-171 中规定的安全要求,以及其他标准和来源的额外要求(因认证级别而异)。对于组织当前的网络安全机制,差距评估将会揭露哪些信息?
请记住 CMMC 的最终目标:保护 FCI 和 CUI,让恶意网络攻击者无计可施。
Entrust 随时为您效劳
Entrust 可以提供相关解决方案,在以下 9 个 CMMC 域提供相关合规帮助:
功能
- 建立系统访问要求
- 控制内部系统访问
- 控制远程系统访问
- 限制对授权用户和流程的数据访问
- 定义审计要求
- 执行审计
- 识别和保护审计信息
- 查看和管理审计日志
- 建立配置基线
- 执行配置和变更管理
- 授予对经身份验证实体的访问权
- 管理维护
- 识别并标记介质
- 保护和控制介质
- 清理介质
- 传输期间保护介质
- 限制物理访问
- 定义系统和通信的安全要求
- 控制系统边界的通信
- 识别并管理信息系统漏洞
- 识别恶意内容
- 执行网络和系统监控
- 实施高级电子邮件保护