爱游戏ayx网

用于美国国防部供应链的网络安全成熟度模型认证(CMMC)

网络安全脆弱性和侵入对国防部(DOD)及其供应链构成重大风险,这就是国防部要求符合CMMC的原因

通过Resiliant 2021年8月17日
礼貌:重新建立

国防部(DoD)的供应链的美国能源部一直受到攻击。今年的勒索事件,如面临由美国海上基地的那些带来了相机,门门禁控制系统和关键监控系统瘫痪30小时,和国防供应商,如CPI,EWA,Westech国际,Garmin公司,ST工程,visser.,Kimchuk等起到警示作用于所有组织。所有类型和规模的国防工业基础(DIB)中的组织都面临着网络攻击。事实上,企业就像是DMI提供托管IT和网络安全服务机构,如NASA和财富100家强企业也被破坏。网络安全漏洞和入侵会对国防部和业务中断,在政府和企业的国家安全和信任的形式对其供应链的主要风险。据IBM称,对工业目标的网络攻击成倍2019年这些事件加强了国防部的要求符合网络安全成熟度模型认证(CMMC)的决定。

虽然网络安全的需求一直在NIST 800-171遵守久矣形式的国防采购过程的一部分,CMMC遵守规范的遵守更全面的做法,如在下面的章节强调了更高的成熟程度的网络安全需求。

认证:

NIST的800-171要求授权的自我评估和合规性自我认证。在另一方面,CMMC需要第三方审计机构来证明组织已符合概述了企业的要求。该认证有效期为三年。CMMC认可机构(CMMC-AB),一个非营利性组织,是包车制定审计人员的培训,审核和认证标准。实体处于释放临时类认可审计员(C3PAO)的过程。

礼貌:重新建立

礼貌:重新建立

一个组织必须遵守取决于联邦合同信息(FCI)的曝光五级和/或控制非保密信息(CUI)。等级越高,就越网络安全的做法和更高的程度在组织这些做法的成熟是必需的。

全面性:

CMMC合规需要最多171个实践的制度化,比NIST SP 800-171多于17个不同的商业领域,横跨17个不同的商业领域,具有适当的跨职能参与和治理。CMMC包含NIST SP 800-171的实践,英国网络精华,澳大利亚网络安全中心基本八个到期日,航空航天工业协会的NAS9933等。

到期:

成熟度的要求往往不能很好地组织的理解。这是不够的制度化实践;该组织必须证明卓越在实践中适当的水平。例如,一级需要一个特设的使用实践,而三级的要求在地方实践的资源和计划的适当的水平。要求符合四个级别的组织必须有到位的做法,在管理团队的表现频繁地审查定量措施。这需要持续的差距评估,及时整治和治理的方案手段。

礼貌:重新建立

礼貌:重新建立

谁需要遵守和在什么水平?

暴露于FCI和/或CUI的国防部直接和扩展的供应链(DFARS流量)的所有组织将不得不遵守CMMC。仅接触到FCI的组织只需要遵守一个要求。另一方面,暴露于国防部敏感CUI的组织将不得不保护CUI并降低高级持续威胁的风险。

  • 1级:FCI的基本保障
  • 等级2:转换步骤,以保护CUI
  • 第3级:保护CUI
  • 4-5级:崔保护和减少高级持续性威胁的风险

所有组织都可以从企业风险管理视角下获得更高程度的过程成熟度,从而在网络安全的情况下。

预计时间表:

预计CMMC要求将从2020年秋季的RFPS处于RFP,并且在冬季/春季2021开始的合同中的实际条款。估计的时间表总结在下图中。

建议:

所有在冬季/春季举行认证的组织应立即启动差距评估过程,纠正差距,并展示进程成熟度以获得认证。早期开始将允许组织及时获得认证。组织强烈建议采取程序化方法,并由于需求的广泛和深度而密切地参与合规流程。CMMC合规性不仅可以帮助组织赢得新的防御业务,还可以帮助加强组织中的整体安全和风险管理。

- 本文最初出现在Resiliant网站重申是CFE媒体内容合作伙伴。CFE Media的Christina Miller编辑,cmiller@cfemedia.com.


重申