用于美国国防部供应链的网络安全成熟度模型认证（CMMC）

美国国防部（DOD）供应链一直受到攻击。今年的赎金软件活动，如美国海事基地面对的那些，将相机，门访问控制系统和关键监控系统下降30小时，以及CPI，EWA，Westech International，Garmin，ST Engineering等国防供应商，维瑟，kimchuk等作为对所有组织的警告。国防工业基地（DIB）中所有类型和尺寸的组织都面临网络攻击。事实上，DMI等企业向美国宇航局和财富100家公司等组织提供管理的IT和网络安全服务也被违反了。网络安全脆弱性和侵入对国防部及其供应链构成主要风险，以业务中断，国家安全和政府和公司的信任。根据IBM的说法，2019年对工业目标的网络攻击翻了一番。这些事件加强了国防部要求遵守网络安全成熟度模型认证（CMMC）的决定。

虽然网络安全要求一直是NIST 800-171遵守形式的辩护采购过程的一部分，但CMMC合规性规范了对网络安全要求的遵守，并在以下部分中突出显示更高的成熟度和更高程度的成熟程度。

认证:

NIST 800-171要求强制性的自评估和自认证的符合性。另一方面，CMMC需要第三方审核员来证明组织已经满足了为业务概述的需求。认证有效期为三年。CMMC认证机构(CMMC- ab)是一个非营利性组织，被特许为审核员制定培训、审核和认证标准。该实体正在发布临时认证审核员等级(C3PAO)。

根据联邦合同信息（FCI）和/或无分类信息（CUI）的曝光，组织将不得不遵守五个层面中的一个。水平越高，需要组织中这些做法的网络安全实践和更高程度的成熟程度。

全面性：

CMMC法规遵循要求制度化多达171个实践，大约比NIST SP 800-171多55%，跨越17个不同的业务领域，具有适当的跨职能参与和治理水平。CMMC整合了NIST SP 800-171、英国网络要素、澳大利亚网络安全中心核心8个成熟度模型、航空航天工业协会NAS9933等机构的实践。

到期：

通过组织往往不太了解到期要求。制度化练习是不够的;该组织必须在实践中展示适当的卓越水平。例如，一个级别要求采用善意的实践，而三级需要适当的资源水平和计划的实践。一个需要四个合规性的组织必须对管理团队的绩效的实践和频繁审查进行定量措施。这需要持续的差距评估，及时修复和以方案方法治理。

谁需要遵守和在什么级别？

国防部直接和延伸供应链(DFARS流程向下)中所有暴露于FCI和/或CUI的组织都必须遵守CMMC。只暴露于FCI的组织只需要遵守一级要求。另一方面，一个暴露于国防部敏感CUI的组织将必须保护CUI并减少高级持续威胁的风险。

• 一级:FCI基本保障
• 2级：过渡步骤保护CUI
• 第三级:保护CUI
• 4-5级：保护CUI并降低高级持续威胁的风险

从企业风险管理的角度来看，所有组织都可以从网络安全实践中拥有更高程度的过程成熟度中受益。

预计时间表：

CMMC要求预计将在2020年秋季的rfp中出现，实际条款将在2021年冬季/春季开始的合同中出现。估计的时间轴总结如下图。

建议:

所有希望在2021年冬/春之前获得认证的组织现在应该根据CMMC要求开始间隙评估过程，弥补差距，并证明过程成熟度以获得认证。尽早开始可以让组织及时获得认证。由于需求的广度和深度，强烈建议组织采取规划方法并密切参与合规过程。CMMC合规不仅有助于一个组织赢得新的国防业务，而且有助于提高组织的整体安全和风险管理。

-本文最初发表于康瑞的网站。Resiliant是CFE媒体内容合作伙伴。CFE Media的Christina Miller编辑，cmiller@cfemedia.com。