搜索
热门搜索词:
我在寻找:

CMMC 程序

请求现场演示
观看演示

随着在美国生效的新的数据隐私法规和合规项目的数量不断增加, 其中最新出现的是网络安全成熟度模型认证(CMMC)项目. 不像大多数 当前美国各州的数据隐私法规CMMC是由国防部副部长办公室实施的一项政府法规. 在CMMC, 属于美国国防部(DoD)供应链(或未来计划属于该供应链)的任何组织, 或者是承包商或分包商, 将被要求遵守一套基于他们所拥有的数据级别的网络安全要求. 让我们探讨一下CMMC程序是什么, 影响到谁, 版本和级别的更新, 是什么影响了组织, 承包商, 分包商可以做些什么来确保他们是合规的.

CMMC是什么?

CMMC的综合框架由国防部发起,旨在保护国防工业基地(DIB)免受日益频繁和复杂的网络攻击. 它需要组织, 承包商, 和DIB的分包商遵守加强的网络保护标准,以保护敏感的非机密信息, 包括 受管制非机密资料(崔) 和联邦联系信息(FCI), 哪些信息需要保护, 但对国家安全并不重要, 除了非联邦系统中的所有类型的联邦数据之外. 根据 国防部副部长办公室,有 CMMC框架的三个关键特性:

分层模型

CMMC要求受国家安全信息委托的企业逐步提高网络安全标准, 这取决于信息的类型和敏感性. 该程序还规定了信息流向分包商的流程.

评估需求

CMMC评估使该部能够验证明确的网络安全标准的执行情况.

透过合约执行

一旦CMMC完全实现, 某些处理敏感的非机密国防部信息的国防部承包商将被要求达到特定的CMMC级别作为合同授予的条件.

CMMC目前还没有生效,它已经经历了第一次迭代的修订. 最新版本(2.0)仍在规则制定过程中,在此过程完成之前不会成为合同要求, 需要9到24个月的时间.

模型1.0图片来源:[http://www。.acq.osd.毫升/ cmmc /申慱sunbet手机版我们.html]

CMMC 1.0 vs CMMC 2.0

当临时CMMC v1.0生效于11月30日, 2020, 它要求所有为国防部工作的公司对CMMC合规性进行第三方评估. 中小型企业(SMBs)迅速反击, 声明合规和认证的成本将迫使他们退出DIB. 根据国防部副部长办公室的消息, 有关临时CMMC 1的公众意见超过850条.呼应了这些担忧. 这些评论和担忧导致该部于2021年3月进行了内部审查, 与国防部内部的网络安全和采办负责人合作,以完善该项目. 2021年11月,CMMC 2.0宣布了一个修订的结构和改进的要求,以实现内部审查中讨论的目标.

对CMMC 1进行了修改.0到CMMC 2.0包括以下:

  • 移除过渡层2和4, 将CMMC级别从5级下调至3级, 并将其余三个重命名如下:1级(基础), 二级(高级), 三级(专家).
  • 将新的级别2(以前的级别3)的20个安全需求从130降至110,以完全符合并消除CMMC特有的所有实践和成熟过程.
  • 允许所有1级(基础级)组织和某些2级(高级级)组织通过年度自我评估来证明合规性, 从而降低评估成本.
  • 在某些情况下,允许组织制定行动计划 & 里程碑(POA&女士),以获得他们的认证. 一个小&M是DIB组织为纠正安全评估中发现的缺陷而采取的计划. 《申慱sunbet版APP》&M应该确定需要纠正的地方, 这些修正将如何进行, 以及这样做需要什么资源.
  • 在某些有限的情况下,允许豁免CMMC要求.

CMMC 2的3个层次.0

如前所述,CMMC 2.0通过删除级别2和4,将级别从5个减少到3个, 哪些被开发为过渡级别. 其余三个级别是根据这些DIB组织拥有和处理的信息类型确定的:

一级(基础)

此级别适用于只有FCI的组织,与CMMC 1中的旧级别1相当.0. 第1级是基于在 远52.204-21《申慱sunbet手机版》,重点是保护FCI. 这个级别的公司和组织必须进行年度自我评估,以证明他们是合规的,以便获得认证.

二级(高级)

这个级别适用于使用崔的组织,与CMMC 1中的旧级别3相当.0. 2级要求与NIST SP 800-171要求完全一致. 当涉及到认证时,该级别内的组织被分为两组:

  • 优先收购的崔:具有优先收购的崔的组织, 哪些信息被认为对国家安全至关重要, 是否需要每3年进行一次第三方认证评估.
  • 非优先收购的崔:没有优先收购的崔, 哪些信息对国家安全不重要, 是否可以像1级组织一样对其认证进行年度自我评估.

三级(专家)

该级别适用于使用高优先级崔的组织, 与CMMC 1中的旧5级相当.0. 该级别将使用NIST SP 800-171需求和NIST SP 800-172需求的子集. 3级组织将每3年接受一次政府主导的认证评估.

模型2.0图片来源:[http://www。.acq.osd.毫升/ cmmc /申慱sunbet手机版我们.html]

谁需要认证?

CMMC合规要求国防部供应链中的任何个人, 包括承包商和分包商. 国防部表示,CMMC项目要求将影响30多万家机构. 然而, 如前所述, 不是所有的组织, 承包商, 而分包商也将要求同样级别的认证, 哪一种依赖于所处理的数据类型.

CMMC实现时间表

CMMC总监Stacy Bostjanik 宣布了CMMC 2.0临时规则可能于2023年5月生效, 并在60天后签订合同, 2023年7月. 更新后的合同将在2023年至2026年之间逐步实施, 虽然组织可以最好地猜测他们将落在哪个级别, 任何处理崔的人都应该计划在2023年7月至少符合Level 2.

如何遵守CMMC

如果您的组织处理崔, 你应该已经符合CMMC级别2(高级), 反映了NIST SP 800-171标准, 自2017年以来一直在实施. 尚未符合规定的组织应考虑实施 预先配置的数据分类申慱sunbet版APP,专门为处理崔设计 , 简化流程,使组织更容易实施CMMC和NIST SP 800-171标准所要求的崔框架, 准确而一致. 即使您的组织只处理FCI并且需要遵守第1级(基础), 数据仍然需要保持安全,并满足“受保护承包商信息基本保护”的要求. A 数据分类 申慱sunbet版APP将数据组织成类别,使您对数据有更多的控制, 同时使数据更容易定位和检索, 在风险管理方面,所有这些都是必不可少的, 合规, 数据安全.

临时CMMC可能于2023年5月生效, 并在2023年7月之前签订合同, 组织, 承包商, 分包商有不到一年的时间来确保他们符合CMMC的标准, 所以现在开始是关键. 有一个保持崔的申慱sunbet版APP, FCI, 和其他联邦数据的安全将是必要的, 而不是美好的拥有, 为了组织, 承包商, 以及分包商,以保持DIB合同的竞争力.

了解更多申慱sunbet手机版我们易于部署,预配置的数据保护申慱sunbet版APP申慱sunbet版APP配置崔, by 现在正在观看点播演示.

受保护程度如何 你的 data?

与我们的专家会面,评估您的需求,我们将引导您完成我们的申慱sunbet版APP.

申请演示
隐藏

即将到来的网络研讨会: 网络研讨会的名字在这里

加入我们 8月32日,星期一 我们在那里讨论这个,那个,还有其他的事.

详情+注册

不要再出现了