网络安全成熟度模型认证 (CMMC)

概览

美国负责采办和保障的国防部 (DoD) 副部长办公室将把 CMMC 作为一项机制实施,以帮助保护 DoD 知识产权和敏感信息,使其不受针对主要承包商和分包商的网络安全事件的攻击。CMMC 专注于 DoD 外部供应链(包括国防工业基地 (DIB) 成员)的安全性和弹性,它引入了组织必须经过第三方评估人员认证的域、实践和程序级别要求,以便夺得大部分 DoD 合同。AWS 使国防承包商能够创建符合 CMMC 的环境,以处理、维护和存储 DoD 数据。

  • 什么是 CMMC?

    CMMC 代表“网络安全成熟度模型认证”。 CMMC 包括多个成熟度等级,从“基本网络安全卫生”到“先进/高级”。 每个成熟度等级包括越来越严格的过程和实践要求,必须满足这些要求才能通过认证。DoD 合同将定义所需的 CMMC 等级;1 级 - 保护联邦合同信息 (FCI),2 级 - 过渡为控制非加密信息 (CUI),3 级 - 保护 CUI,4 级和 5 级 - 保护 CUI 并降低高级持续性威胁 (APT) 的风险。请访问 CMMC 网站以了解更多信息。

  • 为什么要实施 CMMC?

    DoD 正过渡到使用新的 CMMC 框架,以防止 DoD 敏感信息和知识产权被盗。CMMC 框架将评估和增强国防工业基地 (DIB) 供应链的网络安全性,并验证是否采取了适当的网络安全实践和流程。

  • 谁需要进行 CMMC 认证?

    DoD 估计,超过 300,000 家 DIB 组织需要进行一个 CMMC 等级(共五个等级)的评估和认证。这包括主要承包商、分包商以及向 DoD 销售商品或提供服务的所有组织。CMMC 等级要求将由 DoD 合同单独发布。

  • DoD 将在何时实施 CMMC 要求?

    DoD 将从 2021 年 4 月开始逐步实施 CMMC 对 DoD 建议请求 (RFP) 和合同的要求,并计划在 2026 年全面实施。DoD 已经确定了 15 个初始采购项目,称为试点项目,以参与 CMMC 的初始部署。在接下来的五年里,CMMC 要求将以更快的速度纳入新的 DoD 合同中,到 2026 年,几乎所有新的 DoD 合同将会包括 CMMC 要求。

  • 是否有 DoD 供应链成员现在正使用 AWS?

    DoD 供应链中的各个组织、项目和承包商将使用 AWS 来转变其业务和运营。它们将利用 AWS 创建安全的云环境,以根据国防联邦采办条例补充 (DFARS)、DoD 云计算安全要求指南 (SRG)、联邦风险和授权管理计划 (FedRAMP) 以及其他联邦合规性计划的要求处理、维护和存储美国联邦政府数据。

    您可以查阅相关案例研究,了解 AWS 是如何帮助 DoD(包括美国国防后勤局美国空军美国海军美国特种作战司令部)以及 DoD 承包商(如 Lockheed MartinRaytheonGDIT)的。有关 AWS 如何满足 DoD 高安全要求的更多信息,请参阅适用于国防领域的云计算网页。

  • 新的 DoD“暂行规则”如何影响我的组织?

    2020 年 9 月 29 日,DoD 发布了一项“暂行规则”,确立了三个于 2020 年 11 月 30 日生效的新 DFAR 要求,并根据 DFARS 要求 252.204-7012,保护涵盖的国防信息和网络事件报告进行了扩展。“暂行规则”通过以下方法根据初始规则和建立的三个新要求进行了扩展:(1) 要求每三年强制进行一次自我评估 (DFARS 252.204-7019),(2) 向 DoD 供应商绩效风险体系 (SPRS) (DFARS 252.204-7020) 报告自我评估结果,以及 (3) 要求 DoD 采购官员在未来的 DoD 采购中纳入 DFARS 规则 252.204-7021、CMMC 要求。

  • 组织该如何进行认证?

    DoD 成立了 CMMC 咨询委员会 (CMMC-AB),作为负责管理 C3PAO、评估机构和 DIB 实体的 CMMC 认证过程的独立组织。C3PAO 评估机构将以 CMMC 等级作为标准来评估组织。美国国防合同管理署 (DCMA) 宣布,他们计划从 2021 年 3 月开始将 C3PAO 认证为通过 CMMC 第 3 级认证。CMMC-AB 维护了一个 CMMC 市场,可在 https://cmmcab.org/marketplace/ 中识别 C3PAO。

  • AWS 是否已经过 CMMC 认证?

    AWS 已经完成了由独立第三方评估组织 (3PAO) 进行的 NIST SP 800-171 评估,并实施了 SP 800-171 中的全部 110 项控制措施。AWS 已聘请 C3PAO 进行 CMMC 评估,并且在等待其 C3PAO 获得 DCMA 的“认证”。

  • 云服务是否需要经过 CMMC 认证?

    否。CMMC 是一种认证,与特定 CMMC 等级的要求相比,该认证用于衡量 DIB 承包商的网络安全能力和流程。

  • AWS 是否提供 CMMC 互惠性和其他合规性计划?

    否。OUSD(A&S) 尚未定义其他合规性计划(如 FedRAMP、ISO 27001 信息安全管理或国防工业基地网络安全评估中心 (DIBCAC) 评估如何与 DoD“暂行规则”或 CMMC 版本 1.02 中的 CMMC 等级相匹配。OUSD(A&S) 宣布他们打算在 CMMC 2.0 版本中向其他合规性计划授予互惠性。

  • AWS 是否提供解决方案和合规性文档来帮助获得 CMMC 认证?

    AWS 正在与 DoD 和 CMMC-AB 就 CMMC 要求和开发解决方案进行合作,以帮助客户加速部署和认证。2020 年 12 月 22 日,AWS 发布了在 AWS GovCloud(美国)区域运行联邦和国防部工作负载的合规框架,以帮助客户在 AWS GovCloud(美国)区域部署基础的 AWS 基础设施,从而基于 AWS 最佳实践支持自动化、安全、可扩展的多账户环境。该解决方案旨在满足 DoD 对 CMMC 的要求,以及云中影响等级 (IL) 为 4 和 IL 5 的工作负载的 DoD 云计算安全要求指南 (CC SRG)。 

    有关 AWS CMMC 合规性文档,以及如何访问的更多信息,请联系您的 AWS 客户经理或 联系我们

    AWS CMMC 客户责任矩阵 (CRM) 通过使用在 AWS GovCloud(美国)区域运行联邦和国防部工作负载的 AWS 合规框架对客户可以从 AWS 沿用的 CMMC 实践进行细分。  

    AWS CMMC CRM 会识别特定的 CMMC 实践,此类实践是 AWS 的责任,也是寻求 CMMC 合规的组织 (OSC) 要肩负的责任。

    AWS CMMC CRM 包含在 AWS CMMC Customer Package 客户包当中;该客户包中还有 AWS 东部/西部和 GovCloud 行政简报,以及 CMMC 控制措施实施摘要 (CIS)。  客户可在 AWS 标准及 AWS GovCloud(美国)区域的 AWS Artifact 下载该客户包。

  • AWS 专业服务是否支持客户满足其 CMMC 合规性要求?

    是。AWS Professional Services 顾问接受过在 AWS GovCloud(美国)区域运行联邦和国防部工作负载的 AWS 合规框架方面的培训,并且能够支持可解决 CMMC 合规性挑战的客户实现。

  • 我应该使用哪些 AWS 区域部署我们的 CMMC 云环境?

    AWS 旨在让客户可以根据其业务和 DoD 计划和合同的要求,灵活地在标准和限制性区域(美国东部/西部、AWS GovCloud(美国)等)内部署和认证 AWS CMMC 解决方案。

如果您对 CMMC 或 DoD 合规性存在疑问,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系客户团队。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »