-
1. Index
-
2. MDSAP 认证如何帮助医疗器械制造商
-
3. 为国防承包商实现 CMMC 认证
-
4. 化妆品行业的风险管理
-
5. 所有使用过的PPE将带来什么后果?
-
6. 由COVID-19应对产生的业务连续性规划思考
-
7. 新技术如何改变采矿业
-
8. 为何在业务中采取基于风险的思考是必不可少的
-
9. 保护教育:在线学习和网络安全威胁
-
10. 在新常态中加速您的职业生涯
-
11. 供应链风险缓解:确保商品流向市场
随着美国国防部推出新的网络安全认证计划 CMMC,我们将查看不同的成熟度级别,以及您需要为其实施考虑的内容。
在对美国国防工业基地(DIB)的一些国防承包商所使用的网络安全措施提出疑问之后,美国国防部(DoD)引入了网络安全成熟度模型认证(CMMC)。
根据国家标准和技术协会(NIST)网络安全框架 NIST SP 800-171 的规定,DIB 中的承包商已获授权采用网络安全标准。然而,自查中存在的问题,导致许多承包商未能实施必要的网络安全协议。
CMMC 是由国防部制定的,以具有成本效益的方式解决此问题。它更新现有法规,并确保承包商拥有相应的控制措施,以保护敏感数据,包括联邦合同信息(家庭护理[SS(1] )和受控非机密信息(CUI)。
家庭护理服务[SS(2] 是根据合同为政府提供或为其生成的信息。它不适用于公开发行。CUI不同于国际护理协会,因为它需要更高水平的保护,取决于国家本身的安全状态。这是政府创建或拥有的信息,或由承包商代表政府创建或拥有的信息。它受法律、法规或政府政策的覆盖,要求或允许机构使用安全防护保护或传播控制措施进行处理。
CMMC 考虑了在成熟度方面的安全性等级。成熟度有五个层次,它反映了网络安全流程的实现水平:
1级基本网络卫生–相当于联邦收购法规(远) 48 CFR 52.204-21 中的所有17项规范。这主要涉及对家庭护理的保护,仅包括符合 48 CFR 52.204-21 中规定的基本保护要求的实践。承包商可能只在特定的基础上执行特定的做法,因此不会评估流程成熟度。
2级中间网络卫生–涵盖72个实践(从 NIST SP 800-171 r1 的48个实践,再加上七个用于支持中间网络卫生的做法)。2级从1级迈向3级中间延续性级别。组织必须建立并记录实践和政策,以指导他们在施行CMMC中付出努力。这允许对实践过程进行复制,并发展成熟度。
3级良好的网络卫生–涵盖130个实践(FAR为 NIST SP 800-171 r1 中的所有实践,以及支持中间网络卫生的20项实践)。3级的重点是保护CUI。组织必须在其网络安全计划中计划和维护每个实践。
4级主动–涵盖156个实践(FAR、NIST SP 800-171 r1、11个来自 NIST SP 800-172 的规范,外加15个实践,以展示前瞻性的网络安全计划)。4级的重点是保护具有高级持续风险(APTs)的CUI。它要求组织在采取纠正措施之前,测量和审查实践效能。
5级先进/渐进式-涵盖171个实践(FAR、NIST SP 800-171 r1、4规范选自Draft NIST SP 800-172、NIST SP 800-172、外加十一个实践,以展示一个高级网络安全计划)。最高 CMMC 水平的重点是保护CUI免受 APTs (高级持续威胁)的影响。其结果是网络安全功能的深度和复杂性不断提高。
CMMC 由经认证的独立第三方组织对其进行评估。DIB 承包商将与独立认证组织直接进行协调,以请求和安排评估。他们还可以根据自己的业务要求,指定他们希望评估的认证级别。高成熟度的承包商将能够对需要更高网络安全等级的合同进行投标。
为符合受保护材料的敏感特性,预计 CMMC 审核将会非常严密。与所有新获授权的认证要求一样,我们还预测,在 CMMC 的初始周期中,对认证服务的需求将会很高。因此,重要的是要确保尽早开始认证流程。
需要考虑的事项:
最后,重要的是要记住,CMMC 不会取代任何组织当前所从事的合同要求。CMMC 是国防部设计的另一项要求,旨在确保 DIB 的承包商执行必要的网络安全协议,以保护国家安全。
