网络安全成熟度
模型的认证

什么是网络安全成熟度模型认证?

加强对供应链中联邦合同信息(FCI)和受控非机密信息(CUI)的保护, 美国.S. 国防部(DoD)正在与国防部利益相关者合作, 大学附属研究中心, 联邦政府资助的中心和整个行业开发网络安全成熟度模型认证(CMMC), 一个过程，衡量公司在国防工业基础(DIB)部门保护FCI和CUI的能力. CMMC还增加了一个认证元素来验证网络安全要求的实施，认证将需要由施耐德唐斯等认可的第三方执行.

CMMC旨在为国防部提供保证，确保DIB承包商能够在与风险相称的水平上充分保护CUI，并在多层供应链中向分包商流动. CMMC将在2020年被纳入rfi和rfp，并最终成为所有国家的强制性标准.

要了解更多关于潜在成本以及贵组织如何为CMMC做准备的信息，请下载我们的 网络安全成熟度模型认证(CMMC)指南. 

CMMC模型框架

CMMC模型框架按域对网络安全最佳实践进行最高级别的分类.

每个领域通过一组功能和成就进一步细分，以确保在每个领域内实现网络安全目标. 公司将通过展示对实践和过程的遵守来进一步验证对所需功能的遵从性，这些实践和过程已经被映射到五个成熟度级别(如下所述)。. 在这个背景下, 实践将度量满足给定能力需求所需的技术活动, 过程将度量公司的成熟度.

CMMC水平

CMMC模型有五个已定义的级别, 每个都有一组支持实践和过程, 从解决基本网络卫生的第1级到主动和高级的第4级和第5级. 并行, 过程的范围从级别1开始, 在第2级形成文件，并在第5级对整个组织进行优化. 满足特定的CMMC级别, 组织必须满足该级别及以下级别的实践和过程. 级别描述如下:

• 1级 要求组织展示基本的网络卫生. 当实践被期望执行时, 过程成熟度在CMMC第1级没有提到, 因此, CMMC 1级组织的网络安全成熟度可能有限或不一致. 在这个层面上, 可以向组织提供FCI, 哪些资讯并非为公开发布，而是由政府根据合约提供或为政府提供产品或bet9平台游戏.
• 2级 要求组织展示中级网络卫生. 在这个层面上, 期望组织建立并记录标准操作程序, 指导实施其网络安全计划的政策和战略计划. 在第2级，组织可能被提供FCI.
• 3级 要求组织展示良好的网络卫生和有效的NIST SP 800-171 Rev 1安全要求. 过程成熟度, 期望3级组织充分提供资源并审查与遵守政策和程序有关的活动, 并论证管理实践的实施. 需要访问CUI和/或生成CUI的组织应该达到第3级.
• 四级和五级 在4级和5级, 一个组织有一个实质性的和前瞻性的网络安全计划, 有能力调整他们的保护和维持活动，以应对不断变化的战术, apt使用的技术和程序(TTPs). 过程成熟度, 组织应审查和记录活动的有效性，并向高层管理人员通报任何问题, 以及确保过程实现在整个组织中得到了普遍的优化.

CMMC域

CMMC模型由17个域组成, 其中大部分来自FIPS 200安全相关领域和NIST SP 800-171控制系列. 域包括:

• 访问控制(AC)
• 资产管理(AM)
• 审计与问责(AA)
• 意识及训练(AT)
• 配置管理(CM)
• 识别和认证(IDA)
• 事件响应(IR)
• 维护(MA)
• 媒体保护(MP)
• 人事保安(PS)
• 实物保护(PP)
• 恢复(RE)
• 风险管理(RM)
• 保安评估(SAS)
• 态势感知(SA)
• 系统和通信保护(SCP)
• 系统和信息完整性(SII)

时间表和成本

虽然CMMC的草案版本目前可供审查, CMMC的最终版本预计要到2020年1月才会发布. CMMC将于2020年6月开始出现在rfi中, 预计它将于2020年9月开始出现在rfp中.

因为这与价格有关, CMMC网页的常见问题解答部分指出, 认证的成本将被认为是允许的, 可报销的费用，不会令人望而却步. 对于需要CMMC的合同, 如果您的组织没有获得认证，您可能会被取消参加资格. 考虑到, 我们期望未来的rfi和rfp将允许主承包商、分包商将合规成本纳入其投标中.

CMMC评估

日前，施耐德唐斯公司成功完成了第三方认证评估机构(C3PAO)的认证流程，并申请了由美国国防合同管理局(DCMA)国防工业基地网络安全评估中心(DIBCAC)执行的CMMC ML-3评估。. 施耐德唐斯是候选C3PAO，正在等待CMMC ML-3的成功评估, 施耐德唐斯公司将被授权为美国国防部的网络安全成熟度模型认证(CMMC)项目提供认证评估.