CMMC是网络安全成熟度模型认证, 该项目正在开发中，以帮助保护国防部的供应链免受网络安全相关威胁. 国防部在未来的合同中包括了针对CMMC成熟度模型的认证要求, 这包括分包商吗. 供应链, 被国防部称为国防工业基地, 可能成为国家敌人的目标，因为DIB的供应商可能有与国家安全相关的敏感或机密信息. 其思想是，没有一个安全的基础，所有的职能都处于危险之中. 网络安全应该作为国防工业基地各个方面的基础.

来自外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 国际犯罪是美国国家安全问题的重中之重.  像中国这样的国家, 俄罗斯, 朝鲜从美国窃取了超过6000亿美元(全球GDP的1%), 艾伦·洛德说, 负责采购与维护的国防部副部长. 即使在今天, 这些不良行为者利用新冠肺炎大流行作为掩护，而组织将业务从实体办公室扩展到个人家庭，分散了他们的注意力.

30万家公司在一定程度上参与了国防工业基地(DIB), 无论他们是直接与国防部签约，还是分包给更大的公司. 不管你和国防部的关系如何, 所有供应链承包商都需要获得至少1级认证.

CMMC计划主要是由国防部负责采办的副部长办公室推动的. 一般, 认证过程将类似于许多其他认证或网络安全评估, 例如ISO或FedRAMP. 第一个, 为了形成围绕整个评估和认证过程的规则和框架，成立了一个认可机构. 然后，评估机构必须向认证机构申请认证他们的组织能够执行CMMC评估，然后培训和认证他们的员工来执行评估工作. 一旦评审机构完成了认证, 培训, 及人员认证流程, 然后他们将能够执行CMMC评估来认证客户.

整个2020年，这一进程一直在向前推进, 首先是成立CMMC认证委员会, 或CMMC-AB. AB最初是一个完全由志愿者组成的委员会，致力于为评估机构建立一个框架, 专业人士, 和寻求认证的组织. 框架包括标准本身, 认证要求, 评估和认证的过程, 和培训. CMMC-AB建立了一个临时评估员的beta程序. 这些评估员是目前正在接受临时性评估培训的评估人员中的一小部分人. 国防部已经选择了非常具体的合同，这些合同目前正在通过新的CMMC要求的收购过程，作为测试/临时评估的beta测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 的认证机构, 行业, 和国防部CMMC PMO进行一些评估，然后评估过程，以确定什么是最有效的.

在这些临时摊款之后, CMMC-AB将继续进行更大规模的培训, 评估公司认证, 最后确定需求. 在建立认证生态系统的过程中，CMMC-AB仍处于非常早期的阶段. 目前的试验阶段被认为是临时阶段，涉及数量有限的临时评审员及其相关认证机构(或第三方评估组织). 美国国防部今年正在试行不超过15份合同，直到2025年才会全面实施这一要求.

2021年2月, 省政府解决方案(PGS), NIST和FISMA评估的领导者，LBMC的战略合作伙伴, 成为第一个被CMMC-AB认可的认证第三方评估组织(C3PAO). 了解更多关于PGS和LBMC如何合作提供CMMC评估服务: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

一般, 如果你是国防部的承包商或供应商，你可能需要担心CMMC, 或分包给国防部承包商. 然而, 美国国防部和CMMC认证机构表示，未来几年，美国国防部将在新的合同中部署这一要求. CMMC要求预计不会被插入到现行合同中. 即使你现在可能不需要担心它——开始考虑你的安全姿态永远不会太早.

有关于CMMC的问题吗? LBMC可以帮助您的组织准备并获得CMMC认证. 联系 我们现在.

这17项控制实际上是大多数公司已经在做的事情, 你可能只需要将它们正式化一点，为审计做好准备. 这些基本包括使用用户id和有效的密码, 限制系统的访问权限, 和功能, 消毒媒体, 限制/记录/控制物理访问和控制访问者, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 和, 最后但并非最不重要, 恶意代码保护，更新和扫描.

以下是17个控件的样子:

• 限制授权用户对信息系统的访问, 代表授权用户的过程, 或设备(包括其他信息系统).
• 限制信息系统对允许授权用户执行的事务和功能的类型的访问.
• 验证和控制/限制与外部信息系统的连接和使用.
• 控制在公开可访问的信息系统上发布或处理的信息.
• 识别信息系统用户、代表用户的进程或设备.
• 验证(或验证)这些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
• 在处理或发布重用之前，对包含联邦合同信息的信息系统媒体进行消毒或销毁.
• 限制对组织信息系统的物理访问, 设备, 以及各自的操作环境.
• 陪同访客并监督访客活动.
• 维护物理访问审计日志.
• 控制和管理物理接入设备.
• 监视、控制和保护组织通信(i.e., 由组织信息系统传送或接收的信息)位于信息系统的外部边界和关键的内部边界.
• 为公共访问的系统组件实现子网络，这些组件在物理上或逻辑上与内部网络分离.
• 及时识别、报告和纠正信息和信息系统的缺陷.
• 在组织信息系统的适当位置提供防止恶意代码的保护.
• 当有新版本可用时，更新恶意代码保护机制.
• 定期扫描信息系统，并在下载文件时实时扫描外部来源的文件, 打开, 或执行.

另外还有55个控制点，总共是72个. 这个列表可能有点长，不能把它们全部包括在这里. 但是为了让你们知道我们在看什么.

• 访问控制和识别/授权, 在第一级, 专注于限制对系统和功能的访问, 使用身份验证机制和标识符, 以及维护对外部和公共访问系统的访问控制, 现在更进一步. 级别2增加隐私/安全通知, 便携式设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 以及具体的密码管理和加密要求
• 系统和通信, 在级别1中，哪个在DMZ的边界和实现上需要防火墙类型保护, 增加了关于协作工具远程控制和网络设备管理会话加密的控制.

也, 为什么一个公司要申请二级认证, 而国防部只要求1级或3级? 级别2的目的是显示朝着级别3工作的公司的过渡状态. 如果例如, 您的组织希望追求一个需要3级证书的合同, 但你的安全态势还没到那个地步, 您可以获得2级认证，以更好地展示您当前的过渡状态. 目前，在合同奖励之前，不需要合同认证级别. So, 2级认证的过渡状态可以帮助您的组织在合同授予之前显示合同提案的进展.

第三级是另一个重要的升级，在总共130个控制项中增加了58个控制项. 对于一个不太成熟的安全项目来说，提升到3级是非常重要的. 三级是良好的网络卫生. 而大多数公司将解决在第3级提出的大部分风险, 他们可能没有按照这些具体的要求来做. 此外，要有能力显示这些控件的执行可能是一个挑战. 在三级, 您不仅有策略/过程需求, 还包括与持续实施的控制有关的计划.

回到前面的两个例子, 访问控制, 从第1层的4到第2层的14, 现在为总共22个控件增加8个. 然后是身份验证, 从1级的2到2级的7, 现在再添加4个控件，总共11个控件. 为这两个域添加的控件类型-用于无线的附加控件, 远程访问, 职责的划分, 特权用户、移动设备、加密和多因素身份验证.

系统和通信-从级别1的2开始到级别2的4, 现在又增加了15个控件，总共有19个控件. 其他要求包括更具体的防火墙, 远程访问, 和加密技术, 关于移动代码的新需求, 网络电话, 会话控制, 和密钥管理.

第4级和第5级引入了最不主动的网络控制和先进的网络保护. 这些级别适用于信息敏感性高于级别3的公司. 在CMMC的最初试点阶段, 重点放在级别1到3上，级别4和级别5被认为是未来的状态. 尽管如此，还是有人提议对这些水平进行控制.

让我们回到访问控制的领域，看看我们为第4级添加了什么:

• 控制连接系统上安全域之间的信息流.
• 定期审查和更新崔程序的访问权限.
• 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 访问的位置, 物理位置, 网络连接状态, 以及度量当前用户和角色的属性.

5级:

• 识别并减轻与连接到网络的未知无线接入点相关的风险.

有关于CMMC水平的问题吗? LBMC可以帮助您的组织准备和浏览CMMC框架. 联系 我们现在.