美国国防部网络安全成熟度模型认证(CMMC)流程框架继续向前推进。以下是CMMC目前正在进行的更新,其中包括国防部和独立CMMC认证机构最近发布的关于认证过程的具体细节。
正如在之前的文章中所探讨的(比如这篇文章)一个), CMMC标准的实施是为了保护国防承包商持有的受控非机密信息,以减少数据丢失和“国家安全风险”。该标准将要求对所有国防承包商进行第三方审计,并将与合同的规模和承包商为国防部处理的数据成正比。
CMMC认证机构和C3PAOs
国防部的合作伙伴一直在努力充实认证过程的细节。的CMMC认证机构(或CMMC- ab)是一个非营利性的独立组织,它将授权CMMC第三方评估组织(C3PAOs)和评估人员自己。这意味着CMMC-AB不是政府的一部分,尽管它在与国防部的协议下运作。C3PAOs是帮助“培训培训人员”的组织——这意味着他们将向评估人员提供技能并协助评估人员,但cmc - ab实际上将授权评估人员。C3PAO必须通过CMMC AB的认证,然后C3PAO将培训和监督提供认证的CMMC评审员。
CMMC AB正在采取措施实现其目标。CMMC评估员的培训计划还没有开始,AB的网站上也没有时间表。因此,目前还没有任何评估员获得执照。
然而,作为其使命的一部分,AB正在进行市场研究,以开发“一种可扩展的、广泛的以合作伙伴为中心的培训和教育模式,以有效地装备CMMC生态系统中的专业人员、学生和其他利益相关者。”组织将提供培训内容和认证提供者。AB还在为一家实体做市场调查,以开发CMMC认证考试。
COTS产品的销售商不需要CMMC认证
对于只提供商业现货产品的公司,不需要CMMC认证。的CMMC常见问题已更新,以确认包括分包商在内的公司“仅生产商用现货(COTS)产品不需要CMMC认证。”
下Nist sp 800-161在美国,COTS被定义为“已经存在并可从商业来源获得的软件和硬件”。注意,这个例外只适用于生产COTS的公司产品,即定义作为“过程的结果”和“作为“产品”的系统是由系统工程交付的。”因此,一个同时提供服务的公司可能不符合这个例外(因为服务不是产品),一个修改COTS产品的公司也不符合这个例外(因为修改意味着它不再上架)。
然而,即使不拥有受控非机密信息的公司,如果他们拥有联邦合同信息,仍然必须满足1级认证。联邦合同信息定义在52.204 -21作为“不打算公开发布的信息,由政府根据向政府开发或交付产品或服务的合同提供或为政府生成的信息,但不包括政府向公众提供的信息(例如在公共网站上)或简单的交易信息,例如处理支付所必需的信息。”
相比之下,受控非机密信息基本上是联邦合同信息或政府创建的信息,受法律、法规或政府范围内的政策保护不被发布。不幸的是,CMMC常见问题并没有提供太多关于受控非机密信息和联邦合同信息之间区别的细节,所以最安全的做法是假设所有联邦承包商,除了那些仅仅提供COTS产品的承包商,必须至少满足CMMC第1级。
正如我们所注意到的,CMMC是一个大的变化有多少联邦承包商在运作。请继续关注我们的博客,我们将继续关注CMMC标准的推出。
关于这篇文章有什么问题吗?电子邮件我们或者给我们打电话785-200-8919.