理解CMMC 2.0合规性的三个等级
关键要点
- CMMC成熟度模型提供三个认证等级:基础级(1级)、高级(2级)和专家级(3级)。大多数处理受控非密信息(CUI)的国防工业基础组织需要满足2级要求,包括第三方认证审计。
- 每个CMMC等级都有一套相关的实践(在NIST 800-171中称为控制措施),围绕领域(在NIST 800-171中称为控制族)组织。1级有15个实践,2级有110个,3级有134个。
- CMMC与当前国防部网络安全要求的关键区别在于CMMC要求第三方审计来验证合规性。
- 除了商业现成产品和低于微采购门槛的采购外,所有国防部合同最终都需要根据国防部的计划推出时间表要求CMMC合规性。
什么是3个CMMC等级?
CMMC要求处理敏感非密国防信息的国防工业基础组织根据其数据相关风险实施逐步更高级的网络安全控制措施。CMMC合规要求随着它们旨在保护的敏感数据"向下流动"到供应链。
国防部合同和征求建议书将规定主要承包商及其分包商所需的CMMC等级。符合特定CMMC等级将是合同授予的前提条件。
CMMC等级是"累积的"。要获得特定等级的认证,企业必须证明其符合较低等级的要求。
3个CMMC等级是:
1级—基础级 此级别需要基本的网络安全措施来仅保护联邦合同信息(FCI)。还需要年度认证自我评估,以及公司高级代表的证明。
2级—高级 大多数处理CUI和FCI的国防工业基础承包商需要在投标合同前基于严格的第三方审计和高级执行官证明获得CMMC 2级认证。每三年重新评估,每年执行官确认持续合规。少数仅接收不属于NARA注册表国防组织索引分组的关键或较不敏感CUI的公司将有资格基于每三年自我评估和年度执行官确认获得2级认证。
3级—专家级 此最高CMMC成熟度级别保留给在最关键国防部项目上处理高度敏感CUI的承包商,这些项目可能成为高级持续威胁和国家行为者的目标。除了通过CMMC 2级审计外,受CMMC 3级约束的组织需要满足NIST 800-172的24项额外要求,并接受国防部国防工业基础网络安全评估中心的第二次评估。每三年需要政府主导的重新评估,以及年度执行官对持续合规的确认。
表1总结了三个CMMC等级的关键特征和差异。
表1:CMMC等级
| CMMC等级 | 目的 | 要求 | 评估 | 允许整改行动计划? |
|---|---|---|---|---|
| 1 | 基础级:确保保护FCI | 15个控制措施,按FAR条款52.204-21 | 年度自我评估 + 年度确认 | 不允许 |
| 2 (C3PAO) | 高级:确保保护CUI | 110个控制措施,按NIST 800-171 Rev. 2 | 每三年第三方评估 + 年度确认 | 允许;必须在180天内关闭 |
| 2 (自我) | 高级:确保保护选定项目上较不敏感的CUI | 110个控制措施,按NIST 800-171 Rev. 2 | 每三年自我评估 + 年度确认 | 允许;必须在180天内关闭 |
| 3 | 专家级:确保保护关键国防部项目上高度敏感的CUI | 134个控制措施,按NIST 800-171 Rev. 2和NIST 800-172 | 每三年政府主导评估 + 年度确认 | 允许;必须在180天内关闭 |
什么是CMMC实践?
三个CMMC等级中的每一个都定义了一套相关的实践,也称为控制措施。要获得特定等级的认证,组织必须证明其已实施并运作了该等级及前面等级的相关实践。
与ISO 27001和其他可信框架类似,CMMC强烈强调持续改进和治理,以随时间有效管理所需的实践,而不仅仅是为了认证审计而建立和记录它们。除了仅仅"在纸面上"满足要求外,寻求CMMC认证的国防工业基础组织需要向审计师和其他利益相关者证明他们已在日常业务活动中运作了这些要求。
这些是与每个CMMC等级相关的实践/控制措施:
- CMMC 1级 专注于保护FCI但不保护CUI。它指定了15个实践,对应于48 CFR 52.204-21"覆盖承包商信息系统的基本保护"中定义的要求。
- CMMC 2级 专注于保护CUI。它包括NIST 800-171"在非联邦系统和组织中保护受控非密信息"中的所有110个实践。
- CMMC 3级 专注于保护高度敏感的CUI免受复杂威胁。它包括NIST 800-171的110个实践,加上NIST 800-172"在非联邦系统和组织中保护受控非密信息的增强安全要求"的24个额外实践。
什么是CMMC领域?
与NIST 800-171控制族类似,CMMC将其实践组织到14个相互依赖的领域中。表2列出了CMMC 2级的14个CMMC领域和110个相关实践。
表2:CMMC领域
| 领域 | 摘要 | 实践数量 |
|---|---|---|
| 访问控制(AC) | 监控CMMC环境中的所有访问事件,并限制对数据和系统的访问 | 22 |
| 审计与问责(AU) | 保留审计记录以追究用户责任并支持网络事件取证 | 9 |
| 意识与培训(AT) | 确保用户了解与其角色和活动相关的网络安全风险,理解网络安全政策,并能识别和帮助阻止威胁(例如,网络钓鱼攻击) | 3 |
| 配置管理(CM) | 建立和维护基线软件配置 | 9 |
| 识别与认证(IA) | 仅允许认证用户访问公司网络、系统或数据 | 11 |
| 事件响应(IR) | 制定策略和计划,推动对网络事件的高效有效响应 | 3 |
| 维护(MA) | 根据最佳实践执行系统维护,以保护敏感数据的机密性 | 6 |
| 媒体保护(MP) | 确保包含CUI的纸质和数字媒体都安全 | 9 |
| 人员安全(PS) | 跟踪和管理与CUI相关的用户活动,例如,离开组织的员工 | 2 |
| 物理保护(PE) | 保护资产免受物理事件的丢失、盗窃和/或损坏 | 6 |
| 风险评估(RA) | 执行定期风险评估和漏洞扫描 | 3 |
| 安全评估(SA) | 评估和验证网络安全控制措施是否有效,并根据可接受风险保护数据 | 4 |
| 系统与通信保护(SC) | 在IT系统接收或传输数据时跟踪和保护数据 | 16 |
| 系统与信息完整性(SI) | 有效监控、标记和缓解漏洞,以保护敏感数据免受恶意代码侵害 | 7 |
CMMC 2.0 2级与NIST 800-171有何不同?
从控制措施的角度来看,CMMC 2级建立在NIST 800-171 Rev. 2的基础上,该标准自2017年12月31日起规定了处理CUI的国防部承包商的网络安全要求。
然而,CMMC增加了基于三个合规层的第三方认证流程。虽然NIST 800-171合规性依赖于自我评估,但CMMC 2级要求绝大多数供应商进行第三方认证审计。
要求CMMC 2级的合同还将包括DFARS 7019条款,该条款要求承包商将NIST 800-171合规性分数上传到国防部的SPRS数据库中,作为CMMC认证的先决条件。这确保所有合同参与者都记录了对其网络安全实践的评估,并明确向国防部提供了该数据。
我的企业需要遵守CMMC吗?
所有希望投标或参与包含CMMC DFARS条款(DFARS 7021)的未来国防部合同的主要承包商、分包商和供应商都需要在合同授予前达到指定等级的CMMC认证。承包商必须在合同期间保持其CMMC合规状态。
例外情况可能包括:
- 仅用于商业现成(COTS)产品的合同
- 低于10,000美元微采购门槛的合同
受当前带有DFARS 7012条款的国防部合同约束的国防供应商,如果尚未获得认证,则在合同续签时需要通过CMMC 2级审计。
为国防部合同提供与访问、管理和/或保护CUI相关的服务的云服务提供商、托管服务提供商、托管安全服务提供商、SaaS提供商、IT顾问和其他外部服务提供商可能受CMMC合规性约束。国防工业基础组织可以选择性地在其系统安全计划中包括外部服务提供商,与其一起接受CMMC合规性评估,而不是要求外部服务提供商拥有自己的CMMC认证。
下一步是什么?
CBIZ Pivot Point Security提供全套CMMC咨询和顾问服务。立即联系我们,与CMMC专家联系,讨论您公司独特的合规情况。