CMMC等级 - 您需要了解的内容
关键要点
- CMMC成熟度模型提供三个认证等级:基础级(1级)、高级(2级)和专家级(3级)。大多数处理受控非密信息的国防工业基础组织需要满足2级要求,包括第三方认证审计。
- 每个CMMC等级都有一套相关的实践(在NIST 800-171中称为控制措施),围绕领域(在NIST 800-171中称为控制族)组织。1级有15个实践,2级有110个,3级有134个。
- CMMC与当前国防部网络安全要求的关键区别在于CMMC要求第三方审计来验证合规性。
- 除了商业现成产品和低于微采购阈值的采购外,所有国防部合同最终都需要根据国防部的计划推出时间表要求CMMC合规性。
什么是3个CMMC等级?
CMMC要求处理敏感非密国防信息的国防工业基础组织实施逐步更先进的网络安全控制措施,具体取决于与其数据相关的风险。CMMC合规要求随着它们要保护的敏感数据一起"流动"到供应链中。
国防部合同和征求建议书将指定主要承包商及其分包商所需的CMMC等级。符合特定CMMC等级将是合同授予的前提条件。
CMMC等级是"累积的"。要获得特定等级的认证,企业必须证明其符合较低等级的要求。
3个CMMC等级是:
1级 - 基础级:此级别需要基本的网络安全措施来仅保护联邦合同信息。还需要年度认证自我评估以及公司高级代表的证明。
2级 - 高级:大多数处理受控非密信息以及联邦合同信息的国防工业基础承包商需要在投标合同前基于严格的第三方审计和高级执行官证明获得CMMC 2级认证。每三年重新评估一次,并每年由执行官确认持续合规性。少数仅接收不属于NARA注册表国防组织索引分组的关键性或敏感性较低的受控非密信息的公司将有资格基于每三年一次的自我评估和年度执行官确认获得2级认证。
3级 - 专家级:此最高CMMC成熟度级别保留给在最关键的国防部项目上处理高度敏感受控非密信息的承包商,这些项目很可能成为高级持续性威胁和国家行为者的目标。除了通过CMMC 2级审计外,受CMMC 3级约束的组织需要满足NIST 800-172的24项额外要求,并接受国防部国防工业基础网络安全评估中心的第二次评估。每三年需要政府主导的重新评估,以及年度执行官对持续合规性的确认。
表1总结了三个CMMC等级的关键特征和差异。
| CMMC等级 | 目的 | 要求 | 评估 | 允许整改行动计划? |
|---|---|---|---|---|
| 1 | 基础级:确保保护联邦合同信息 | 根据FAR条款52.204-21的15个控制措施 | 年度自我评估 + 年度确认 | 不允许 |
| 2 (C3PAO) | 高级:确保保护受控非密信息 | 根据NIST 800-171 Rev. 2的110个控制措施 | 每3年第三方评估 + 年度确认 | 允许;必须在180天内完成 |
| 2 (自我) | 高级:确保保护选定项目中敏感性较低的受控非密信息 | 根据NIST 800-171 Rev. 2的110个控制措施 | 每3年自我评估 + 年度确认 | 允许;必须在180天内完成 |
| 3 | 专家级:确保保护关键国防部项目中的高度敏感受控非密信息 | 根据NIST 800-171 Rev. 2和NIST 800-172的134个控制措施 | 每3年政府主导评估 + 年度确认 | 允许;必须在180天内完成 |
表1:CMMC等级
什么是CMMC实践?
三个CMMC等级中的每一个都定义了一套相关的实践,也称为控制措施。要获得特定等级的认证,组织必须证明其已经实施并运作了该等级及之前等级的相关实践。
与ISO 27001和其他可信框架类似,CMMC强烈强调持续改进和治理,以随时间有效管理所需的实践,而不是仅仅为认证审计建立和记录它们。除了仅仅"在纸面上"满足要求外,寻求CMMC认证的国防工业基础组织需要向审计师和其他利益相关者证明,他们已经在日常业务活动中运作了这些要求。
这些是与每个CMMC等级相关的实践/控制措施:
- CMMC 1级侧重于保护联邦合同信息但不保护受控非密信息。它指定了15个实践,对应于48 CFR 52.204-21"涵盖承包商信息系统的基本保护"中定义的要求。
- CMMC 2级侧重于保护受控非密信息。它包括来自NIST 800-171"保护非联邦系统和组织中的受控非密信息"的所有110个实践。
- CMMC 3级侧重于保护高度敏感的受控非密信息免受复杂威胁。它包括来自NIST 800-171的110个实践,加上来自NIST 800-172"保护非联邦系统和组织中的受控非密信息的增强安全要求"的24个额外实践。
什么是CMMC领域?
与NIST 800-171控制族类似,CMMC将其实践组织到14个相互依赖的领域中。表2列出了CMMC 2级的14个CMMC领域和110个相关实践。
| 领域 | 摘要 | 实践数量 |
|---|---|---|
| 访问控制(AC) | 监控CMMC环境中的所有访问事件,并限制对数据和系统的访问。 | 22 |
| 审计与问责(AU) | 保留审计记录以追究用户责任并支持网络事件取证。 | 9 |
| 意识与培训(AT) | 确保用户了解与其角色和活动相关的网络安全风险,理解网络安全策略,并能识别和帮助阻止威胁(例如网络钓鱼攻击)。 | 3 |
| 配置管理(CM) | 建立和维护基线软件配置。 | 9 |
| 识别与认证(IA) | 仅允许经过认证的用户访问公司网络、系统或数据。 | 11 |
| 事件响应(IR) | 制定驱动对网络事件高效有效响应的策略和计划。 | 3 |
| 维护(MA) | 根据最佳实践执行系统维护,以保护敏感数据的机密性。 | 6 |
| 媒体保护(MP) | 确保包含受控非密信息的纸质和数字媒体安全。 | 9 |
| 人员安全(PS) | 跟踪和管理与受控非密信息相关的用户活动,例如离开组织的员工。 | 2 |
| 物理保护(PE) | 保护资产免受物理事件造成的丢失、盗窃和/或损坏。 | 6 |
| 风险评估(RA) | 执行定期风险评估和漏洞扫描。 | 3 |
| 安全评估(SA) | 评估和验证网络安全控制措施是否有效并根据可接受风险保护数据。 | 4 |
| 系统与通信保护(SC) | 在IT系统接收或传输数据时跟踪和保护数据。 | 16 |
| 系统与信息完整性(SI) | 有效监控、标记和缓解漏洞,以保护敏感数据免受恶意代码侵害。 | 7 |
表2:CMMC领域
CMMC 2.0 2级与NIST 800-171有何不同?
从控制措施的角度来看,CMMC 2级建立在NIST 800-171 Rev. 2之上,该标准自2017年12月31日起规定了处理受控非密信息的国防部承包商的网络安全要求。
然而,CMMC增加了基于三个合规层的第三方认证流程。虽然NIST 800-171合规性依赖于自我评估,但CMMC 2级要求绝大多数供应商进行第三方认证审计。
要求CMMC 2级的合同还将包括DFARS 7019条款,该条款要求承包商将NIST 800-171合规性评分上传到国防部的SPRS数据库中,作为CMMC认证的先决条件。这确保所有合同参与者都记录了对其网络安全实践的评估,并明确向国防部提供了该数据。
我的企业需要遵守CMMC吗?
所有希望投标或参与包含CMMC DFARS条款的未来国防部合同的主要承包商、分包商和供应商都需要在合同授予前达到指定等级的CMMC认证。承包商必须在合同期限内保持其CMMC合规状态。
例外情况可能包括:
- 仅用于商业现成产品的合同
- 低于10,000美元微采购阈值的合同
受当前具有DFARS 7012条款的国防部合同约束的国防供应商,如果尚未获得认证,则在合同续签时需要通过CMMC 2级审计。
为国防部合同提供与访问、管理和/或保护受控非密信息相关的服务的云服务提供商、托管服务提供商、托管安全服务提供商、SaaS提供商、IT顾问和其他外部服务提供商可能受CMMC合规性约束。国防工业基础组织可以选择将外部服务提供商纳入其系统安全计划,与其一起接受CMMC合规性评估,而不是要求外部服务提供商拥有自己的CMMC认证。