关键要点

• CMMC成熟度模型提供三个认证等级：基础（1级）、高级（2级）和专家（3级）
• 大多数处理受控非密信息（CUI）的国防工业基础组织需满足2级要求，包括第三方认证审计
• 每个等级对应一组实践（在NIST 800-171中称为控制措施），按领域（在NIST 800-171中称为控制族）组织
• 1级包含15项实践，2级110项，3级134项
• CMMC与当前国防部网络安全要求的关键区别在于强制第三方审计验证合规性

三级CMMC标准解析

CMMC要求处理敏感非密国防信息的国防工业基础组织根据数据风险实施渐进式高级网络安全控制。合规要求随所保护敏感数据在供应链中"向下流动"。国防部合同将规定主承包商及其分包商需满足的CMMC等级，特定等级合规是合同授予的前提条件。

三级认证特点：

1. 1级基础级

   • 仅保护联邦合同信息（FCI）的基础网络安全措施
   • 需年度自我评估+高级代表 attestation

2. 2级高级级

   • 大多数处理CUI的承包商需通过严格第三方审计
   • 每三年重新评估，需年度高管合规确认
   • 部分处理非关键CUI的企业可基于三年期自我评估获认证

3. 3级专家级

   • 针对处理高度敏感CUI的承包商
   • 需满足NIST 800-172的24项附加要求
   • 由国防工业基础网络安全评估中心进行政府主导评估

实践与领域框架

CMMC将实践组织为14个相互依赖的领域（见表2），包括访问控制、审计问责、事件响应等。2级认证需实现110项实践，涵盖从系统配置管理到物理保护的完整安全生命周期。

与NIST 800-171的核心差异

CMMC 2级基于NIST 800-171 Rev.2构建，但新增三级合规框架下的第三方认证流程。符合CMMC 2级的合同需包含DFARS 7019条款，要求承包商将NIST 800-171合规分数上传至国防部SPRS数据库。

合规适用性

所有参与含CMMC条款国防部合同的实体需在授标前获得指定等级认证。例外情况仅包括纯商业现成品采购或低于1万美元微采购阈值的合同。云服务商等外部服务提供商可能需通过合规评估。

表1：CMMC等级对比表（此处保留原表结构）
表2：CMMC领域与实践数量对应表（此处保留原表结构）