网络安全成熟度模型认证

您了解贵公司在国家安全中的作用吗?

您的企业是目前与美国国防部 (DoD) 开展业务的 300,000 家企业之一吗?你有计划投标未来的国防部项目吗?如果您对上述任一问题的回答为“是”,则贵公司需要获得网络安全成熟度模型认证 (CMMC),才能维持现有合同或确保新合同的安全。

为了保护受控非机密信息 (CUI) 或联邦合同信息 (FCI) 免受不良行为者的侵害,投标国防部合同的组织及其分包商必须在国防部合同中确定的级别实现 CMMC 合规性。要了解有关 CMMC 五个级别中的每一个级别的更多信息,请向下滚动并展开相应部分。但是,一般来说,如果您的公司只收到 FCI,那么您至少需要实现 CMMC 1 级实施。但是,如果您的企业收到 CUI,则您至少需要满足 CMMC 级别 3。

CMMC 模型框架的开发旨在建立在保护信息系统和数据的现有指南和标准的基础上,例如“FAR 52.204-21,“保护涵盖的国防信息和网络事件报告”和 NIST SP 800-171,“保护非联邦系统和组织中的受控非机密信息。”

要了解有关 CMMC 的更多信息以及有助于您做好准备的提示, 点击这里 下载我们的综合白皮书。

注册提供者组织 |网络安全成熟度模型认证| Rea & Associates


分解CMMC

定义网络安全成熟度模型认证

为了帮助保护国家的受控非机密信息 (CUI),国防部 (DoD) 开发了网络安全成熟度模型认证 (CMMC),作为整个国防工业基地 (DIB) 网络安全控制的新标准,其中包括制造业和建筑业以及地方政府实体。该认证有助于向国防部提供更多保证,即 DIB 公司有能力“充分保护敏感的非机密信息,将信息流向多层供应链中的分包商”。

CMMC 模型框架通过引入成熟度概念,将基于风险的网络安全合规方法纳入其中,寻求认证的组织可以在特定成熟度级别下获得认证,从一(基本)到五(高级)。您的组织认证的成熟度级别将反映您在执行国防部合同时能够保护您处理的数据方面的网络安全能力。

获得 CMMC 后,您的认证状态将被所有国防部机构接受,并将在认证之日起三年内保持有效。

CMMC 级别是如何确定的?

您的 CMMC 级别将由国防部 (DoD) 合同确定,该合同将明确规定组织为确保工作安全而必须达到的合规级别。合同还将概述组织的分包商所需的 CMMC 级别。 CMMC 成熟度级别分为五类:

  • 1级: 保护联邦合同信息 (FCI)
    • 基本:组织必须实践网络安全卫生。
      • 网络安全流程已执行,但未记录在案。
  • 第 2 级: 向保护受控非机密信息 (CUI) 过渡
    • 中级:组织实践改进的网络安全卫生。
      • 网络安全流程是可重复的,这意味着它们由文档执行和支持。
  • 第 3 级: Protecting CUI
    • 中等:该组织已表现出良好的网络安全卫生。
      • 网络安全流程得到规划、建立和有效执行。
  • 第 4 级: 通过部分采用高级网络安全实践来保护 CUI 免受高级持续威胁 (APT)
    • 该组织在网络安全方面采取积极主动的立场,并增强了检测和响应能力。
      • 已建立的网络安全流程将持续受到监控和衡量。
  • 第 5 级: 通过全面采用先进的网络安全实践来保护 CUI 免受 APT 的侵害
    • 高级:该组织实施了分层网络安全控制,并展示了其网络安全实践的整体复杂性。
      • 优化和监控网络安全流程以实施持续改进。

当成绩通过/失败时,你准备好通过了吗

为了为 CMMC 做好准备,您的公司必须在运营的各个方面都采用网络安全。 “勾选框”的心态将不再足够。随着技术的不断发展,新的威胁将会出现,新的漏洞将会暴露出来,网络安全实践必须相应地发展以管理与网络安全相关的风险。这就是我们与 CMMC 合作的目标。

遵循持续的、基于风险的方法在整个企业中实施网络安全实践的公司将
更好地获得更高成熟度级别的 CMMC 认证,这将在投标工作时带来更大的战略优势。因此,现在就为 CMMC 做准备以确保您能够实现 CMMC 合规性并最终实现业务连续性是有意义的。

如果您正在考虑 CMMC 认证,请考虑采取以下准备措施:

  • 建立网络安全计划
  • 正规化网络安全实践
  • 主动参与 C3PAO 和其他第三方
  • 监控监管发展

如需进一步了解 CMMC 合规性的准备工作以及与 CMMC 相关的更多信息, 下载我们的白皮书.

证据在过程中 - 在 C3PAO 的评估中

由于 CMMC 框架建立在现有指南和标准之上,包括 FAR 52.204-21、DFARS 252.204-7012 和 NIST SP 800-171,如果您已经努力遵守当前的网络安全法规,您可能只会受到轻微影响在CMMC认证过程中。但是,如果您还没有做出类似的努力和/或准备,您可能会面临许多挑战。组织需要能够确定他们在网络安全计划中缺乏可见性和/或存在缺陷的地方,以便在寻求 CMMC 之前主动解决这些挑战。

如果您希望获得认证,第一步是联系 CMMC 的注册提供者组织,与认证注册从业者取得联系。您将一起审查现有的网络安全政策和流程,以及它们是否满足维持国防部 (DoD) 合同或投标未来国防部工作所需的 CMMC 级别。经过全面评估后,CMMC 注册从业人员将确定您是否已准备好获得所需的 CMMC 级别。如果发现问题,CMMC 团队将帮助您克服这些挑战并帮助确保您的组织能够满足国防部的要求。

为了获得 CMMC,您必须寻求经认可的独立认证 3rd 方评估组织 (C2PAO) 的帮助,该组织将确定您是否满足获得适当认证级别的必要要求。寻求认证的组织应该期待 C3PAO 在其参与期间执行独立的测试程序,这可能会根据所需的 CMMC 成熟度级别而有所不同。此外,您的组织必须准备好提供足够的书面证据来支持验证。

注册提供者组织 | CMMC | Rea & Associates

Rea 如何提供帮助?

Rea & Associates 的网络服务团队具有独特的优势,可为企业提供维持业务连续性所需的 CMMC 准备支持,避免因不遵守网络安全协议而受到罚款和处罚,并维护企业的整体安全性和完整性。除了我们基于行业的专业知识,特别是与建筑和制造相关的专业知识,今天,Rea 是 全国不到 300 家 CMMC 注册提供商组织 (RPO) 之一 拥有一个由四名 CMMC 注册从业人员组成的网络安全团队。作为注册从业者,我们获得了CMMC认证机构的授权,可以帮助企业准备正式的认证。我们也在成为 C3PAO 组织的过程中。目前,不存在 C3PAO 组织。

作为在军事供应链领域拥有丰富经验和直接从事军事工作的区域从业者,在建筑和制造专家公司的支持下,Rea 处于有利地位,可以帮助我们的客户取得成功并持续遵守 CMMC。立即致电我们开始您的 CMMC 合规之旅 - 或 点击这里 发送直接消息。

CMMC RPO |注册提供者组织 |俄亥俄州注册会计师事务所 CMMC RP |注册供应商 |俄亥俄州注册会计师事务所