網路安全成熟度模型認證 (CMMC)
概觀
- 分層模型:CMMC 要求受託管理國家安全資訊的公司,根據資訊的類型和敏感性,逐步實作網路安全標準。該計劃還規定了資訊流向轉包商的流程。
- 評估要求:CMMC 評估允許國防部驗證明確的網路安全標準的實作情況。
- 透過合約實作:一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。
常見問答集
-
什麼是 CMMC 2.0?
CMMC 2.0 是國防部 CMMC 網路安全模型的下一次反覆運作。它將要求簡化為三個等級的網路安全 (基礎、進階和專家),並將每個等級的要求與非常知名且廣泛接受的 NIST 網路安全標準保持一致。 -
CMMC 2.0 有哪些新等級?
2021 年 12 月 3 日,美國國防部 (DoD) 發佈了 CMMC 2.0 模型概觀。CMMC 2.0 模型包含聯邦採購條例 (FAR) 52.204-21 中指定的 FCI 基本保障要求和 NIST SP 800-171r2 中根據國防聯邦採購條例補編 (DFARS) 條款 252.204-7012 對 CUI 的安全要求。
CMMC 1 級 (基礎) 僅適用於設置有 FCI 的公司;資訊需要保護,但對國家安全並不重要;需要 17 項基本保護措施;CMMC 1 級範圍界定指南
CMMC 2 級 (進階) 適用於設置有 CUI 的公司;需要 NIST SP 800-171r2 中的 110 項實務;可能需要第三方或自我評估,具體取決於資訊類型;CMMC 2 級範圍界定指南
CMMC 3 級 (專家) 用於設置有 CUI 的最高優先級計劃;使用 NIST SP 800-172 的子集;將由政府官員進行評估。
-
為什麼要實作 CMMC 2.0?
網路安全是國防部的首要考量。
國防工業基地 (DIB) 是日益頻繁和複雜的網路攻擊的目標。為了保護美國人的獨創性和國家安全資訊,國防部開發了 CMMC 2.0 以動態增強 DIB 網路安全,以應對不斷變化的威脅並保護資訊。
-
誰需要獲得 CMMC 認證?
一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。 -
國防部何時實作 CMMC 2.0 要求?
國防部表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。 國防部估計該程序的完成時間為 2021 年 11 月起的 9-24 個月。
一旦實作 CMMC 2.0,國防部將在招標和任何資訊請求 (RFI) 中指定所需的 CMMC 等級 (如果使用)。 -
目前有國防部供應鏈成員在使用 AWS 嗎?
-
新的國防部「臨時規則」對我的組織有何影響?
臨時 DFARS 規則建立了一個五年的逐步實施期,在此期間,僅在選定的試驗合約中才需要 CMMC 合規性,並獲得負責收購和維持事務的副部長辦公室 (OUSD(A&S)) 的核准。國防部表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。
一旦透過規則制定將 CMMC 2.0 編纂成法典,國防部將要求公司遵守修訂後的 CMMC 2.0 架構。 -
雲端服務是否需要通過 CMMC 認證?
否。CMMC 衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 等級要求作比較)。
作為雲端服務供應商 (CSP),AWS 在 FedRAMP High 上獲得了 FedRAMP 的授權,在 SRG Impact 等級 2、4 和 5 上獲得了國防資訊系統局 (DISA) 的授權。 -
AWS 是否與其他合規計劃一起提供 CMMC 2.0 互惠協議?
否。國防部尚未定義其他合規計劃 (例如 FedRAMP 或 ISO 27001 資訊安全管理) 將如何映射至 CMMC 2.0 等級。 -
AWS 是否提供解決方案和合規文件來協助進行 CMMC 2.0 合規?
AWS CMMC 客戶套件提供了 CMMC 2 級/NIST SP 800-171 安全控制的明細,客戶可以透過使用 AWS GovCloud (美國) 中的 AWS Landing Zone Accelerator (AWS 登陸區域加速器) 從 AWS 繼承這些安全控制。
該 AWS CMMC 客戶套件可同時在 AWS 標準和 AWS GovCloud (美國) 區域的 AWS Artifact 中供客戶下載。
-
AWS Professional Services 是否支援客戶滿足其 CMMC 合規要求?
是。AWS Professional Services 顧問接受了 AWS GovCloud (美國) AWS Landing Zone Accelerator (AWS 登陸區域加速器) 方面的培訓,並且能夠為客戶實作提供支援,應對 CMMC 合規性挑戰。
-
我應使用哪個 AWS 區域來部署我們的 CMMC 2.0 雲端環境?
AWS 擬根據客戶的業務和國防部計劃與合約的要求,在標準和受限區域 (美國東部/西部、AWS GovCloud (美國) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 2.0 解決方案。
CMMC 資源
有關支援我們客戶的 DFARS、NIST SP 800-171 或 CMMC 要求的 AWS 解決方案和服務的詳細資訊,請透過 [email protected] 聯絡我們
如果您有 CMMC 或國防部合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。