了解更多关于拜登总统关于安全的行政命令, 安全, 值得信赖的人工智能. ...
本网站使用cookie,以确保我们给您最好的用户体验. cookie协助导航,分析流量和我们的营销工作,如我们的 隐私政策.
国防部CMMC认证要求的最新更新是什么, 关卡和时间线?
如果你的组织是国防工业基地(DIB)部门的一部分, 您很可能已经了解到,最近国防部(DoD)要求联邦承包商根据其期望的成熟度级别遵守网络安全成熟度模型认证(CMMC)的要求和时间表发生了变化.
虽然最近有消息称,国防部开始获得CMMC认证的时间表将被推迟, 尽管这可能会缓解一些, 现在还不是让气体变得符合CMMC的时候.
现在是需要获得一级认证的组织的好时机, 开始访问17项所需控制的网络安全环境,并了解联邦合同信息(FCI)数据存储方面可能存在的差距.
处理受控非机密信息(CUI)的组织, 需要2级认证吗, 其中包括NIST 800-171框架内的110项控制. CMMC准备情况审查将允许从外部角度访问您的组织环境,并接收已识别的差距列表, 以及关于将来如何达到2级成熟度的详细建议.
需要获得三级认证的公司, 是否需要遵循NIST 800-172框架并需要政府主导的评估.
对于那些不熟悉国防部CMMC要求的人, 2021年11月, 国防部宣布通过CMMC模型2对国防部供应链中的供应商合规性进行改进.0.
在此之前,由于政府基础设施遭到网络攻击,网络安全监管几乎没有,导致敏感数据和数十亿美元的损失. 更新后的CMMC模型将通过要求承包商实施更好的网络安全卫生,更好地保护DIB免受对其基础设施的高级网络攻击.
CMMC 2.0模型通过实施旨在保护系统免受攻击以及保护FCI和CUI的网络安全控制来改进网络安全合规性. CMMC 2.0模型根据供应商处理的敏感数据的级别将组织划分为三个遵从性级别.
CMMC模型2.0取代了之前的cmmc1.0模型,包括5个级别的遵从性,并且需要第三方访问所有成熟度级别. 更新后的2.0模式允许1级承包商自行访问, 哪个为小型组织提供了成本优势, 更大的灵活性, 以及更多的责任.
第1级是CMMC合规性的“基础”级别,要求所有在合同中包含FCI的承包商实施联邦采购条例(FAR) 52要求的17项基本网络安全实践.204-21. 属于第一级的组织可以对FAR 52进行年度自我评估.204-21控制并向国防部报告得分.
第2级是CMMC的“高级”级别,要求处理CUI的承包商实施国家标准与技术研究所(NIST) 800-171框架,该框架包括来自14个CMMC领域的110个实践. 如果承包商处理敏感CUI, 《国防联邦采办条例补充(DFARS)》第252条.204-7012要求承包商通过CMMC第三方评估组织(C3PAO)进行独立评估,以验证承包商已完全实施NIST 800-171框架,从而获得2级认证.
第3级是CMMC成熟度的“专家”级别,需要承包商处理关键的国防部基础设施. 寻求3级认证的组织将被要求遵守NIST 800-172框架. 与独立的C3PAO不同,3级承包商也需要由国防部直接访问. 目前,议员们仍在敲定3级的要求.
然而,这些分级要求最初要求从2023年3月开始实施, 这一要求被推迟到2024年. 所有企业都应该趁早成为CMMC的投诉对象, 因为采用NIST框架内的控制将使企业拥有更好的网络安全态势,并在发生网络攻击时减少责任.
继续与国防部合作并竞标联邦合同的公司, 是否需要根据国防部合同要求的级别获得CMMC认证. 2025年后未完成CMMC认证的公司将无法竞标国防部合同.
模拟CMMC评估的价值
所有企业现在都可以通过利用CMMC模拟评估而获益, 它将允许独立公司根据NIST 800-171要求访问企业的IT基础设施,并提供建议,以改进现有的控制和流程,以及实施新的控制,使其达到所需的CMMC成熟度级别.
不管, 如果你的公司将来竞标联邦合同, 采用NIST 800-171框架将使企业能够实现改进的网络安全态势,因为NIST框架包括14个领域的各种网络安全实践.
施耐德倒下有何帮助?
如果您是一家将来需要与CMMC兼容的企业, 或者是想要改善网络安全状况的企业, 施耐德唐斯IT风险咨询团队可以通过执行CMMC或NIST 800-171模拟评估来帮助您的企业.
相关链接
关于施耐德唐斯IT风险咨询
我们的IT风险咨询实践有助于确保您的组织以风险为中心, 推广健全的资讯科技管制, 确保及时解决审计缺陷, 并向董事会通报风险管理措施的有效性. 我们将与您合作,提供全面的IT审计和遵从性审查,以确保您的组织具有有效和高效的技术控制,从而更好地将技术功能与其业务和风险策略结合起来.