CMMC等级—您需要了解的内容
关键要点
- CMMC成熟度模型提供三个认证等级:基础(1级)、高级(2级)和专家(3级)
- 大多数处理受控非密信息(CUI)的国防工业基础(DIB)组织需要满足2级要求,包括第三方认证审计
- 三个CMMC等级各有一套相关的实践(在NIST 800-171中称为控制措施),围绕领域(在NIST 800-171中称为控制族)组织
- 1级有15个实践,2级有110个,3级有134个
- CMMC与当前国防部网络安全要求的关键区别在于CMMC要求第三方审计来验证合规性
- 除COTS产品和低于微采购门槛的采购外,所有国防部合同最终都需要根据国防部的计划推出时间表要求CMMC合规性
什么是3个CMMC等级?
CMMC要求处理敏感非密国防信息的DIB组织根据其数据相关风险实施逐步更高级的网络安全控制措施。CMMC合规要求与其旨在保护的敏感数据一起"向下流动"供应链。
国防部合同和征求建议书将指定主要承包商及其分包商所需的CMMC等级。符合特定CMMC等级将是合同授予的前提条件。
CMMC等级是"累积的"。要获得特定等级的认证,企业必须证明其符合较低等级的要求。
3个CMMC等级是:
1级—基础级 此级别需要基本的网络安全措施,仅保护联邦合同信息(FCI)。还需要年度认证自我评估以及公司高级代表的证明。
2级—高级级 大多数处理CUI和FCI的DIB承包商需要在投标合同前基于严格的第三方审计和高级执行官证明获得CMMC 2级认证。每三年重新评估一次,每年执行官确认持续合规性。
少数仅接收不在NARA注册表国防组织索引分组中的非关键或较不敏感CUI的公司将有资格基于每三年一次的自我评估和年度执行官确认获得2级认证。
3级—专家级 此最高CMMC成熟度级别保留给在最关键的国防部项目上处理高度敏感CUI的承包商,这些项目可能是高级持续威胁(APT)和国家行为者的目标。除了通过CMMC 2级审计外,受CMMC 3级约束的组织需要根据NIST 800-172满足24项额外要求,并接受国防部国防工业基础网络安全评估中心(DIBCAC)的第二次评估。每三年需要政府主导的重新评估,以及每年执行官对持续合规性的确认。
表1总结了三个CMMC等级的关键特征和差异。
| CMMC等级 | 目的 | 要求 | 评估 | POA&Ms允许? |
|---|---|---|---|---|
| 1 | 基础级:确保保护FCI | 根据FAR条款52.204-21的15个控制措施 | 年度自我评估+年度确认 | 不允许 |
| 2 (C3PAO) | 高级级:确保保护CUI | 根据NIST 800-171 Rev. 2的110个控制措施 | 每三年第三方评估+年度确认 | 允许;必须在180天内关闭 |
| 2 (自我) | 高级级:确保保护选定项目中较不敏感的CUI | 根据NIST 800-171 Rev. 2的110个控制措施 | 每三年自我评估+年度确认 | 允许;必须在180天内关闭 |
| 3 | 专家级:确保保护关键国防部项目中的高度敏感CUI | 根据NIST 800-171 Rev. 2和NIST 800-172的134个控制措施 | 每三年政府主导评估+年度确认 | 允许;必须在180天内关闭 |
表1:CMMC等级
什么是CMMC实践?
三个CMMC等级各定义了一套相关的实践,也称为控制措施。要获得特定等级的认证,组织必须证明其已实施并运营了该等级及先前等级的相关实践。
与ISO 27001和其他可信框架类似,CMMC强烈强调持续改进和治理,以随时间有效管理所需实践,而不仅仅是为了认证审计而建立和记录它们。
除了仅仅"在纸上"满足要求外,寻求CMMC认证的DIB组织需要向审计师和其他利益相关者证明他们已在日常业务活动中运营了这些要求。
这些是与每个CMMC等级相关的实践/控制措施:
- CMMC 1级 侧重于保护FCI但不保护CUI。它指定了15个实践,对应于48 CFR 52.204-21"覆盖承包商信息系统的基本保护"中定义的要求。
- CMMC 2级 侧重于保护CUI。它包括来自NIST 800-171"在非联邦系统和组织中保护受控非密信息"的所有110个实践。
- CMMC 3级 侧重于保护高度敏感的CUI免受复杂威胁。它包括来自NIST 800-171的110个实践,加上来自NIST 800-172"在非联邦系统和组织中保护受控非密信息的增强安全要求"的24个额外实践。
什么是CMMC领域?
与NIST 800-171控制族类似,CMMC将其实践组织成14个相互依赖的领域。表2列出了CMMC 2级的14个CMMC领域和110个相关实践。
| 领域 | 摘要 | 实践数量 |
|---|---|---|
| 访问控制(AC) | 监控CMMC环境中的所有访问事件,并限制对数据和系统的访问 | 22 |
| 审计与问责(AU) | 保留审计记录以追究用户责任并支持网络事件取证 | 9 |
| 意识与培训(AT) | 确保用户了解与其角色和活动相关的网络安全风险,理解网络安全策略,并能识别和帮助阻止威胁(例如网络钓鱼攻击) | 3 |
| 配置管理(CM) | 建立和维护基线软件配置 | 9 |
| 识别与认证(IA) | 仅允许经过认证的用户访问公司网络、系统或数据 | 11 |
| 事件响应(IR) | 制定驱动对网络事件高效有效响应的策略和计划 | 3 |
| 维护(MA) | 根据最佳实践执行系统维护,以保护敏感数据的机密性 | 6 |
| 媒体保护(MP) | 确保包含CUI的纸质和数字媒体都安全 | 9 |
| 人员安全(PS) | 跟踪和管理与CUI相关的用户活动,例如离开组织的员工 | 2 |
| 物理保护(PE) | 保护资产免受物理事件造成的丢失、盗窃和/或损坏 | 6 |
| 风险评估(RA) | 执行定期风险评估和漏洞扫描 | 3 |
| 安全评估(SA) | 评估和验证网络安全控制措施是否有效并根据可接受风险保护数据 | 4 |
| 系统与通信保护(SC) | 在IT系统接收或传输数据时跟踪和保护数据 | 16 |
| 系统与信息完整性(SI) | 有效监控、标记和缓解漏洞,以保护敏感数据免受恶意代码侵害 | 7 |
表2:CMMC领域
CMMC 2.0 2级与NIST 800-171有何不同?
从控制措施的角度来看,CMMC 2级建立在NIST 800-171 Rev. 2之上,该标准自2017年12月31日起规定了处理CUI的国防部承包商的网络安全要求。
然而,CMMC增加了基于三个合规层级的第三方认证流程。虽然NIST 800-171合规性依赖于自我评估,但CMMC 2级要求大多数供应商进行第三方认证审计。
要求CMMC 2级的合同还将包括DFARS 7019条款,该条款要求承包商将NIST 800-171合规性分数上传到国防部的SPRS数据库中,作为CMMC认证的先决条件。这确保所有合同参与者都记录了对其网络安全实践的评估,并明确向国防部提供了该数据。
我的企业需要遵守CMMC吗?
所有希望投标或参与包含CMMC DFARS条款(DFARS 7021)的未来国防部合同的主要承包商、分包商和供应商都需要在合同授予前达到指定等级的CMMC认证。承包商必须在合同期限内保持其CMMC合规状态。
例外情况可能包括:
- 仅用于商业现成(COTS)产品的合同
- 低于10,000美元微采购门槛的合同
受当前带有DFARS 7012条款的国防部合同约束的国防供应商,如果尚未获得认证,则在合同续签时需要通过CMMC 2级审计。
为国防部合同提供与访问、管理和/或保护CUI相关的服务的云服务提供商(CSP)、托管服务提供商(MSP)、托管安全服务提供商(MSSP)、SaaS提供商、IT顾问和其他外部服务提供商(ESP)可能受CMMC合规性约束。DIB组织可以选择将ESP纳入其系统安全计划,与其一起评估CMMC合规性,而不是要求ESP拥有自己的CMMC认证。
下一步是什么?
CBIZ Pivot Point Security提供全套CMMC咨询和咨询服务。立即联系我们,与CMMC专家联系,了解您公司的独特合规情况。