CMMC是网络安全成熟度模型认证, 该项目旨在保护国防部的供应链免受网络安全相关威胁. 国防部将在未来的合同中包括针对CMMC成熟度模型的认证要求, 这也包括分包商吗. 供应链, 在国防部的圈子里被称为国防工业基地或DIB, 可能会成为国家对手的目标，因为DIB的供应商可能拥有与国家安全相关的敏感或机密信息. 这个想法是，如果没有一个安全的基础，所有的功能都有风险. 网络安全应成为国防工业基地各个方面的基础.

外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 国际犯罪分子是美国国家安全问题的首要问题.  中国这样的国家, 俄罗斯, 朝鲜从美国转移了6000多亿美元(占全球GDP的1%), 根据艾伦·洛德, 负责采办和维护的国防部副部长. 即使在今天, 这些不良行为者利用COVID-19大流行为他们的邪恶行为做掩护，而组织则分散了注意力，因为他们将业务运营从实体办公室扩展到个人家中.

30万家公司在某种程度上参与了国防工业基地(DIB), 无论他们是直接与国防部签约，还是大公司的分包商. 不管你和国防部的关系如何, 所有供应链承包商都需要至少达到1级认证.

CMMC计划主要由负责采办的国防部副部长办公室推动. 一般, 认证过程将类似于许多其他认证或网络安全评估, 例如ISO或FedRAMP. 第一个, 为了形成整个评估和认证过程的规则和框架，一个认可机构被放在一起. 然后，评估机构必须向认证机构申请认证他们的组织能够进行CMMC评估，然后培训和认证他们的员工进行评估工作. 一旦评估机构完成认可, 培训, 以及人员认证流程, 然后他们将能够执行CMMC评估来认证客户.

整个2020年，这一进程一直在向前推进, 从CMMC认证委员会的成立开始, 或CMMC-AB. 评估委员会最初是由一个完全由志愿者组成的委员会妥协的，该委员会致力于为评估机构建立一个框架, 专业人士, 以及寻求认证的组织. 框架包括标准本身, 认可的要求, 评估和认证的过程, 和培训. cmc - ab建立了一个临时评估员的测试程序. 这些评估人员是从评估领域中挑选出来的一个较小的小组，目前正在接受培训，以便在临时基础上执行评估. 国防部已经选择了非常具体的合同，这些合同目前正在经历新的CMMC要求的采办过程，作为beta/临时评估的beta测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 认可机构, 行业, 和国防部CMMC项目管理办公室进行一些评估，然后评估这个过程，以确定什么是最好的.

在这些临时评估之后, cmc - ab将推进更大规模的培训, 评估人公司认证, 以及需求的最终确定. cmc - ab在建立认证生态系统的过程中仍处于早期阶段. 试点的当前阶段被认为是临时阶段，涉及数量有限的临时评估员及其关联的认证机构(或第三方评估组织)。. 国防部今年将试点不超过15份合同，直到2025年才会全面实施这一要求.

2021年2月, 省级政府解决方案(PGS), NIST和FISMA评估的领导者和金沙乐娱app下载的战略合作伙伴, 成为首批获得cmc - ab认证的第三方评估机构(C3PAO). 阅读更多关于PGS和金沙乐娱app下载如何合作提供CMMC评估服务: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

一般, 如果你是国防部的承包商或供应商，你可能需要担心CMMC, 或分包给国防部承包商. 然而, 国防部和CMMC认证机构表示，国防部将在未来几年的新合同中部署该要求. CMMC要求预计不会被插入到现行合同中. 即使你现在还不用担心这个问题，但考虑你的安全状况永远都不嫌早.

对CMMC有问题吗? 金沙乐娱app下载可以帮助您的组织准备和获得CMMC认证. 联系 金沙乐娱app下载现在.

在这一集 网络安全意识， Caryn 伍利与Bill Dean讨论网络安全成熟度模型认证(CMMC). 请收听本节目，了解为何美国国防部(DoD)创建了新的网络安全评估，以提高政府承包商和分包商的安全. 在这一集里, Caryn解释了五个认证级别，反映了公司网络安全基础设施的成熟度和可靠性，以保护承包商信息系统上的敏感政府信息. 她还提供了更多关于CMMC当前状态的信息，以及国防部承包商现在可以采取哪些步骤来准备.

这17项控制实际上是大多数公司已经在做的事情, 你可能只是需要把它们正式化一点，为审计做好准备. 这些基本措施包括使用用户id和有效密码, 限制系统访问, 和功能, 消毒媒体, 限制/记录/控制访客的物理访问和控制, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 而且, 最后但同样重要的, 恶意代码保护更新和扫描.

以下是17个控件的外观:

• 限制授权用户访问信息系统, 代表授权用户的进程, 或设备(包括其他信息系统).
• 将信息系统访问限制为允许授权用户执行的事务和功能类型.
• 验证和控制/限制与外部信息系统的连接和使用.
• 控制在公共可访问信息系统上发布或处理的信息.
• 标识信息系统用户、代表用户的进程或设备.
• 验证(或验证)这些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
• 在处理或发布以供重用之前，对包含联邦合同信息的信息系统媒体进行消毒或销毁.
• 限制对组织信息系统的物理访问, 设备, 并向授权人员提供各自的操作环境.
• 陪同访客并监督访客活动.
• 维护物理接入审计日志.
• 控制和管理物理接入设备.
• 监视、控制和保护组织通信(即组织通信).e., 由组织信息系统传输或接收的信息)在信息系统的外部边界和关键的内部边界.
• 为在物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网络.
• 及时发现、报告并纠正信息和信息系统缺陷.
• 在组织信息系统内的适当位置提供防止恶意代码的保护.
• 更新恶意代码保护机制时，新的版本可用.
• 定期扫描信息系统，并在下载文件时对来自外部源的文件进行实时扫描, 打开, 或执行.

还有55个额外的控制，使金沙乐娱app下载的总数达到72个. 这个列表，也许，有点太长了，不包括在这里. 但是为了让你们知道金沙乐娱app下载在看什么.

• 访问控制和识别/授权, 在第一级, 重点是限制对系统和功能的访问, 使用身份验证机制和标识符, 维护对外部和公共访问系统的访问控制, 现在更进一步. 第2级添加隐私/安全通知, 便携式设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 并有具体的密码管理和加密要求
• 系统与通讯, 在级别1上需要在边界上进行防火墙类型的保护并实现DMZ, 增加协作工具的远程控制和网络设备管理会话的加密控制.

也, 为什么一个公司会申请二级认证, 当国防部只要求1级或3级时? 第2级意味着公司向第3级迈进的过渡状态. 例如，如果, 你们组织希望签订一份要求3级证书的合同, 但是你的安全状况还没有达到那个程度, 您可以获得2级认证，以更好地展示您当前的过渡状态. 目前，在合同奖励之前不需要合同认证级别. So, 2级认证的过渡状态可以帮助您的组织在合同授予之前显示合同提案的进展.

第3级是另一个重要的升级，增加了58个控制，共计130个控制. 对于一个不太成熟的安全程序来说，提升到第3级是非常重要的. 第三级是良好的网络卫生. 而大多数公司将解决第3级所呈现的大部分风险, 他们可能没有按照这些要求的特殊性来做. 此外，能够显示这些控制的实现可能是一个挑战. 第3级, 您不仅有策略/过程需求, 但也有与持续实施控制措施相关的计划.

回到前面的两个例子, 访问控制, 从1级的4到2级的14, 现在再添加8个控件，总共有22个控件. 然后是识别和认证, 从1级的2到2级的7, 现在再添加4个控件，总共有11个控件. 为这两个域添加的控件类型-无线的附加控件, 远程访问, 职责划分, 特权用户、移动设备、加密和多因素认证.

系统和通信-从第1级的2级到第2级的4级, 现在再添加15个控件，总共有19个控件. 其他需求包括更特定的防火墙, 远程访问, 以及加密技术, 围绕移动代码的新需求, 网络电话, 会话控制, 以及密钥管理.

4级和5级介绍了最不主动的网络控制和先进的网络保护. 这些级别是为那些拥有比级别3更敏感信息的公司设计的. 在CMMC的初始试验阶段, 重点是1级到3级，4级和5级被认为是未来的状态. 尽管如此，还是有人提议对碳含量进行控制.

让金沙乐娱app下载回到访问控制领域，看看金沙乐娱app下载为第4级添加了什么:

• 控制信息在连接系统上的安全域之间流动.
• 定期审核和更新CUI程序访问权限.
• 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 入口位置, 物理位置, 网络连接状态, 并测量当前用户和角色的属性.

第五级:

• 识别和降低与未识别的无线接入点连接到网络相关的风险.

对CMMC级别有问题吗? 金沙乐娱app下载可以帮助您的组织准备和使用CMMC框架. 联系 金沙乐娱app下载现在.