网络安全成熟度
模型的认证

什么是网络安全成熟度模型认证?

加强对供应链中联邦合同信息(FCI)和受控非机密信息(CUI)的保护, 美国.S. 美国国防部(DoD)正在与国防部利益相关方合作, 大学附属研究中心, 由联邦政府资助的中心和整个行业开发网络安全成熟度模型认证(CMMC), 一个衡量国防工业基地(DIB)部门内公司保护FCI和CUI的能力的过程. CMMC还增加了一个认证元素，以验证网络安全要求的实施，认证将需要由经认证的第三方(如施耐德唐斯)执行.

CMMC旨在为国防部提供保证，即DIB承包商能够在与风险相称的水平上充分保护CUI，并在多层供应链中考虑到流向分包商的问题. 到2020年，CMMC将被包括在rfi和rfp中，并最终对所有人强制实施.

要了解更多有关潜在成本和您的组织如何准备CMMC，请下载我们的 网络安全成熟度模型认证(CMMC)指南. 

CMMC模型框架

CMMC模型框架将网络安全最佳实践按领域在最高级别进行分类.

每个领域通过一系列能力和成就进一步细分，以确保每个领域的网络安全目标得到满足. 公司将通过展示对跨越5个成熟度级别(解释如下)的实践和过程的遵循，进一步验证所需功能的遵从性。. 在这种背景下, 实践将度量实现给定能力需求的遵从所需要的技术活动, 而流程将度量companyâs流程的成熟度.

CMMC水平

CMMC模型有五个已定义的级别, 每一个都有一组支持的实践和过程, 从处理基本网络卫生的一级，到主动的、高级的四级和五级. 并行, 从级别1开始执行, 在第2级进行记录，在第5级在组织中进行优化. 达到特定的CMMC级别, 组织必须满足该级别及以下的实践和过程. 级别说明如下:

• 1级 要求组织展示基本的网络卫生. 当实践被期望执行时, CMMC级别1没有提到过程成熟度, 因此, CMMC 1级组织的网络安全成熟度可能有限或不一致. 在这个级别, 组织可以提供FCI, 哪些信息不是供公众发布的，而是由政府根据向政府开发或交付产品或bwin手机客户端的合同提供或生成的.
• 2级 要求组织展示中等网络卫生水平. 在这个级别, 组织应建立标准的操作程序并使之形成文件, 政策和战略计划，以指导其网络安全计划的实施. 在第2级，可向组织提供FCI.
• 3级 要求组织展示良好的网络卫生和有效的NIST SP 800-171 Rev 1安全要求. 对过程成熟度, 3级组织应充分利用资源和审查与遵守政策和程序相关的活动, 并演示实践实施管理. 需要访问CUI和/或生成CUI的组织应达到第3级.
• 4级和5级 在4级和5级, 一个组织有一个实质性的和积极主动的网络安全计划, 具有适应其保护和维持活动的能力，以应对不断变化的策略, apt使用的技术和程序(TTPs). 对过程成熟度, 组织应审查和记录活动的有效性，并将任何问题通知高层管理人员, 以及确保流程实现在整个组织中得到了普遍优化.

CMMC域

CMMC模型由17个域组成, 大部分来自FIPS 200安全相关领域和NIST SP 800-171控制家族. 域名如下:

• 访问控制(AC)
• 资产管理(AM)
• 审计及问责制(AA)
• 意识及培训(AT)
• 配置管理(CM)
• 识别与认证(IDA)
• 事件反应(IR)
• 维护(MA)
• 媒体保护(议员)
• 人员安全(PS)
• 实物保护(PP)
• 恢复(RE)
• 风险管理(RM)
• 安全评估(SAS)
• 态势感知(SA)
• 系统及通讯保障(SCP)
• 系统及资讯完整性(SII)

CMMC时间线和成本

而CMMC的草案版本目前可供审查, CMMC的最终版本预计要到2020年1月才会发布. CMMC将于2020年6月开始出现在RFIs中, 预计它将于2020年9月开始出现在rfp中.

因为它涉及到价格, CMMC网页的FAQ部分指出, 核证费用将被认为是允许的, 可报销的费用，不会让人望而却步. 对于需要CMMC的合同, 如果您的组织没有获得认证，您可能会被取消参加资格. 考虑到, 我们预计，未来的招标文件和招标文件将允许主承包商和分包商在投标中考虑合规成本.

CMMC评估

施耐德唐斯已经成功完成了认证第三方评估机构(C3PAO)的认证流程，并申请了由国防合同管理署(DCMA)国防工业基地网络安全评估中心(DIBCAC)进行的CMMC ML-3评估。. bwinios客户端是C3PAO候选人，正在等待CMMC ML-3评估的成功, 施耐德唐斯将被授权为美国国防部(DoD)的网络安全成熟度模型认证(CMMC)计划提供认证评估.