拥有QMS或ISMS后，是否仍需要CMMC认证？

CMMC是一项严格且难以达到的标准，这使得许多公司产生疑问：它到底有多必要？ 毕竟在安全与合规领域，CMMC并非孤立的框架。美国国内（如FedRAMP）或国际（如ISO 27001）都存在诸多其他框架。已符合其他合规标准并建立如ISMS或QMS等体系的公司可能会问：是否仍需要CMMC？答案可能是肯定的，也可能是否定的，这完全取决于公司的目标。

目录

• 什么是QMS？
• 什么是ISMS？
• 拥有QMS或ISMS后是否还需要CMMC？
• 不全是坏消息

BLUF - 核心要点
CMMC对于希望与美国国防部合作的公司至关重要，特别是处理联邦合同信息（FCI）或受控非密信息（CUI）时。虽然像ISO 27001这样的QMS或ISMS有助于安全管理，但它们不能替代CMMC。两者存在许多重叠要求，可减轻过渡负担。如果您的目标是参与联邦合同，符合CMMC是关键。Ignyte Assurance平台可帮助有效实现CMMC合规。

什么是QMS？

让我们从QMS（质量管理体系）开始。它是什么？来自哪里？

质量管理体系是企业制定的正式体系，用于组织和规范从流程、职责到程序的各个方面，以确保整个业务的质量。

虽然这听起来像一堆MBA术语堆砌，但实际上它具体得多。因为它不仅仅是一个标签；QMS需要框架来正确开发和验证。有多种框架可用，最常见的是ISO 9001。还有专门的ISO版本，如用于环境管理体系的ISO 14000、用于审计管理体系的ISO 19011，以及用于医疗器械质量管理的ISO 13485。

这些框架也有非ISO版本，它们非常相似。包括用于航空、航天和防御系统的QMS——AS 9100，以及用于汽车产品的IATF 16949。

尽管所有这些框架在细节、目标和组织上各不相同，但它们都遵循相似的原则：鼓励以客户为中心、促进领导力、让员工参与流程、采取流程导向的方法、促进基于证据的决策等等。

您可能已经注意到，在上述描述中我们完全没有提到网络安全。

这并不是因为QMS与网络安全无关。事实上，QMS可能与组织的网络安全、信息安全和数字安全密切相关。只是它并非纯粹专注于网络安全。

QMS可以通过几种方式与网络安全相关联。由于它是一个质量概览框架，它涉及系统的整体质量，如您的数字安全、基础设施甚至供应商合同。毕竟，您的安全质量是组织质量的一部分。

也就是说，ISO 9001及相关框架并非网络安全框架，而是恰好涉及网络安全的业务框架。这使得它们与注重细节的CMMC大不相同。

什么是ISMS？

ISMS是信息安全管理体系。与QMS一样，ISMS是框架的一部分，但这次它更专注于网络安全。这是因为ISMS是您作为ISO 27001的一部分所开发的内容。

与QMS类似，ISMS范围更广，在更高层次上涵盖更多业务方面，包括业务数据安全、风险安全、信息安全违规等。它涵盖政策、程序、人员、行为和培训，因此不仅仅是技术解决方案。

ISO 27001比ISO 9001更接近CMMC。但仍然不尽相同，且差异非常重要。

问题在于，您是需要CMMC，还是ISMS就足够了？

拥有QMS或ISMS后是否还需要CMMC？

这个问题的答案取决于几个相关问题的回答。

第一： 您的企业是否计划与美国联邦政府国防部（DoD）开展业务？

如果这个问题的答案是肯定的，那么您可能（尽管不一定）需要获得CMMC认证。

如果您计划以其他方式与美国联邦政府合作，但不通过国防部，您可能不需要CMMC，但更可能需要FedRAMP。尽管FedRAMP和CMMC在目标上非常相似，甚至都源自同一NIST安全控制和配置资源，但它们适用于政府的不同领域。

如果您根本没有计划与美国联邦政府合作，那么您不需要这两种安全合规平台。如果您想与州级政府或类似机构合作，您可能需要GovRAMP（前身为StateRAMP）。

而且，如果您不打算与任何美国政府机构合作，您将不需要这些框架中的任何一个。国际政府可能需要ISO 27001，即您的ISMS，而与其他组织的第三方合同可能有自己的要求，但这是您需要在具体合同中查阅的内容，而不是从合规博客中一概而论。

现在我们来看第二个问题，该问题仅在您对第一个问题回答“是”时才适用。

第二个问题是： 您的企业是否会处理联邦合同信息（FCI）或受控非密信息（CUI）？

如果您的企业希望向国防部提供服务，但您的服务不以任何方式处理FCI或CUI，您可能不需要CMMC。然而，这相当不可能；国防部不希望留下可能被利用的漏洞，他们通常会在合同中加入DFARS条款。

主要例外是COTS，即商业现成软件。COTS需要被公众使用，而不仅仅是政府供应链，它们需要达到足够的销售数量（仅仅可用是不够的），并且需要以现状提供给政府，而不是拥有特定于政府的版本（该版本本身需要满足CMMC要求）。

大多数情况下，如果您打算以某种身份与国防部合作，您将需要获得CMMC认证。最大的区别在于您需要1级、2级还是3级。

大致来说（且过于简化），您可以这样理解：

• 1级适用于处理FCI但不处理CUI的公司。
• 2级适用于处理CUI的公司，无论是否处理FCI。
• 3级适用于处理与国家安全相关的CUI的公司。

与国防部合作的大多数企业将属于2级；一些将属于1级，而相对较少的企业会是3级，这些企业肯定不会提出这个总体问题。

确定过程比这些简单的界限更为细致，但当合同到来时，确定您所处的位置并不十分困难。

不全是坏消息

许多阅读本文的公司将了解到ISMS或QMS不足，他们需要在某个级别上实现CMMC，并会感到沮丧。一些公司可能错误地认为ISO 27001验证是互通的而主动实现了它；其他公司可能希望从国际视角轻松进入美国市场。有些公司可能只是希望避免重复大量工作。

虽然“您必须实现CMMC”对某些公司来说是坏消息，但并非全是坏消息，主要原因如下：

原因是CMMC与ISO 27001，甚至在某种程度上与ISO 9001及其同类体系存在相当多的重叠。

CMMC基于美国国家标准与技术研究院（NIST）的特殊出版物NIST SP 800-171。该文件概述了保护CUI所需的所有安全控制措施。CMMC的每个级别都从NIST SP 800-171中挑选最重要的控制措施并使其成为必需。

当您根据ISO 27001中列出的要求和指南建立ISMS时，您所依据的文件与NIST SP 800-171的安全控制列表惊人地相似。负责制定这些标准的人员是合作者，尽管他们采取的方法不同，但最终结果相似。

也许最大的区别在于两者运作方式的不同。NIST SP 800-171以及随之而来的CMMC有点规定主义；它们告诉您需要做什么才能被视为安全。ISO 27001则更具描述性和自由形式；它告诉您需要实现什么，但没有具体说明如何做。这就是为什么CMMC是关于获得认证，而ISO 27001是关于在ISMS中开发系统。

不幸的是，通过ISO 9001及类似标准开发的QMS与网络安全目标的契合度要低得多，因此与本次讨论的相关性也小得多。虽然它可能有所帮助，但不如ISMS有用。不过，如果您两者都有，那么您就处于开展CMMC工作的有利位置。

由于优先级和实施方案的重叠，如果您已经建立了ISMS，那么您需要为CMMC完成的许多工作已经完成。

但这并不意味着您可以轻松通过CMMC流程。

您仍然需要：

• 审查您的业务和合同（或潜在合同）以确定需要获得哪个级别的CMMC。
• 审查NIST SP 800-171中的每个相关控制措施，并确定您的业务所需的那些。
• 执行差异分析，以确定您的ISMS是否满足NIST SP 800-171要求的安全标准，或者您是否需要加强或改进实施。
• 确定需要哪些文档和工件来证明您实施了NIST/CMMC版本的安全控制措施。
• 仍然需要经历并通过CMMC审计。

CMMC和ISMS不是互通的。事实上，CMMC目前与任何东西都不互通。最接近的替代方案FedRAMP，可能有一天会实现某种程度的互认，但这并不是我们会屏息以待的事情。

尽管我们列出了上述任务列表，但好消息是，您作为ISMS一部分实施的许多内容（以及作为QMS一部分实施的一些内容）将满足CMMC的要求。虽然不是全部，您仍然需要制定适当的文档，但当工作已经完成并且您已经建立了报告机制时，您已经完成了很大一部分工作。

幸运的是，我们也能提供帮助。Ignyte Assurance平台被设计为一个框架无关的认证助手，但我们可以轻松配置它直接与CMMC要求协同工作。它可以告诉您需要做什么、需要改进什么以及需要记录什么。它跨团队和实施组工作，可以通过简单的仪表板查看帮助您验证对CMMC审计的准备情况。

如果您感兴趣，或者想要更定制化的演示来展示对您业务最重要的内容，您可以与我们安排通话，亲眼看看平台的运作。我们非常乐意为您详细讲解，帮助您确定是否需要CMMC、哪个级别可能与您的业务相关，以及Ignyte Assurance平台如何帮助您实现目标。

因此，让我们帮助您将ISMS转化为强大CMMC实施的基础，避免阻碍认证的常见陷阱和障碍，并使您尽快走上赢得那些国防部合同的轨道。