网络安全成熟度模型认证 (CMMC)
概览
- 分层模型:CMMC 要求受托国家安全信息的公司根据信息的类型和敏感性逐步实施网络安全标准。该计划还规定了信息流向分包商的流程。
- 评估要求:CMMC 评估允许国防部验证明确的网络安全标准的实施情况。
- 通过合同实施:一旦 CMMC 完全实施,作为授予合同的条件,某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的 CMMC 级别。
常见问题
-
什么是 CMMC 2.0?
CMMC 2.0 是国防部 CMMC 网络安全模型的下一次迭代。它将要求简化为三个级别的网络安全—基础、高级和专家级—并将每个级别的要求与众所周知和广泛接受的 NIST 网络安全标准保持一致。 -
CMMC 2.0 中有哪些新级别?
2021 年 12 月 3 日,美国国防部(DoD)发布了 CMMC 2.0 模型概览。CMMC 2.0 模型包含联邦采购条例 (FAR) 52.204-21 中规定的 FCI 基本保护要求,以及 NIST SP 800-171r2 中根据国防联邦采购条例补充 (DFARS) 条款 252.204-7012 中规定的 CUI 安全要求。
CMMC 第 1 级(基础)仅适用于拥有 FCI 的公司;信息需要保护,但对国家安全并不重要;需要 17 项基本保护措施;CMMC 第 1 级规划指南
CMMC 第 2 级(高级)适用于拥有 CUI 的公司;将需要来自 NIST SP 800-171r2 中的 110 个实践;可能需要第三方或自我评估,具体取决于信息类型;CMMC 第 2 级规划指南
CMMC 第 3 级(专家)适用于 CUI 的最高优先级项目;将使用 NIST SP 800-172 的子集;将由政府官员进行评估。
-
为什么要实施 CMMC 2.0?
网络安全是国防部的重中之重。
国防工业基地 (DIB) 是日益频繁和复杂的网络攻击的目标。为了保护美国的独创力和国家安全信息,国防部开发了 CMMC 2.0 来动态增强 DIB 网络安全,以应对不断变化的威胁并保护信息。
-
谁需要进行 CMMC 认证?
一旦 CMMC 完全实施,作为授予合同的条件,某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的 CMMC 级别。 -
国防部将在何时实施 CMMC 2.0 要求?
国防部表示,在 CMMC 2.0 规则制定过程完成之前,它不打算批准在任何合同中包含 CMMC 要求。 国防部估计从 2021 年 11 月起需要 9-24 个月完成该过程。
一旦实施了 CMMC 2.0,国防部将在征求和任何信息请求 (RFI) 中指定所需的 CMMC 级别(如果使用)。 -
现在是否有国防部供应链成员使用 AWS?
国防部供应链中的各个组织、项目和承包商将使用 AWS 来转变其业务和运营。它们将利用 AWS 创建安全的云环境,以根据国防联邦采办条例补充 (DFARS)、DoD 云计算安全要求指南 (SRG)、联邦风险和授权管理计划 (FedRAMP) 以及其他联邦合规性计划的要求处理、维护和存储美国联邦政府数据。
您可以查阅相关案例研究,了解 AWS 是如何帮助 DoD(包括美国国防后勤局、美国空军、美国海军和美国特种作战司令部)以及 DoD 承包商(如 Lockheed Martin、Raytheon 和 GDIT)的。有关 AWS 如何满足国防部高安全要求的更多信息,请参阅适用于国防领域的云计算网页。
-
新的国防部“暂行规则”如何影响我的组织?
临时 DFARS 规则建立了一个为期五年的过渡期,在此期间,仅在选定的试点合同中要求遵守 CMMC,并经国防部采购和维持副部长办公室 (OUSD(A&S)) 批准。国防部表示,在 CMMC 2.0 规则制定过程完成之前,它不打算批准在任何合同中包含 CMMC 要求。
一旦 CMMC 2.0 通过规则制定,国防部将要求公司遵守修订后的 CMMC 2.0 框架。 -
云服务是否需要经过 CMMC 认证?
否。CMMC 针对特定 CMMC 等级的要求来衡量 DIB 承包商的网络安全能力和流程。
作为云服务提供商 (CSP),AWS 获得了 FedRAMP 的 FedRAMP High 授权,以及国防信息系统局 (DISA) 的 SRG 影响级别 2、4 和 5 授权。 -
AWS 是否提供 CMMC 2.0 互惠性和其他合规性计划?
否。国防部尚未定义其他合规性计划(例如 FedRAMP 或 ISO 27001 信息安全管理)将如何映射到 CMMC 2.0 级别。 -
AWS 是否提供解决方案和合规性文档来帮助实现 CMMC 2.0 合规性?
AWS CMMC 客户包提供了客户可以使用 AWS GovCloud(美国)中的 AWS 登录区加速器从 AWS 继承的 CMMC 2 级/NIST SP 800-171 安全控制的明细。
客户可在 AWS 标准及 AWS GovCloud(美国)区域的 AWS Artifact 中下载 AWS CMMC 客户包。
-
AWS 专业服务是否支持客户满足其 CMMC 合规性要求?
是。AWS Professional Services 顾问接受过在 AWS GovCloud(美国)进行的 AWS 登录区加速器方面的培训,并且能够支持可解决 CMMC 合规性挑战的客户实施。
-
我应该使用哪些 AWS 区域部署我们的 CMMC 2.0 云环境?
AWS 旨在让客户可以根据其业务和国防部计划和合同的要求,灵活地在标准和限制性区域(美国东部/西部、AWS GovCloud(美国)等)内部署和认证 AWS CMMC 2.0 解决方案。
CMMC 资源
有关支持我们客户的 DFARS、NIST SP 800-171 或 CMMC 要求的 AWS 解决方案和服务的更多信息,请通过 cmmconaws@amazon.com 联系我们
如果您对 CMMC 或 DoD 合规性存在疑问,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系客户团队。