网络安全成熟度模型认证 (CMMC)

概览

140940_AWS_Multi-Logo Graphic_600x400_DoD

美国负责采办和保障的国防部 (DoD) 副部长办公室将把 CMMC 作为一项机制实施,以帮助保护 DoD 知识产权和敏感信息,使其不受针对主要承包商和分包商的网络安全事件的攻击。CMMC 专注于 DoD 外部供应链(包括国防工业基地 (DIB) 成员)的安全性和弹性,它引入了组织必须经过第三方评估人员认证的域、实践和程序级别要求,以便夺得大部分 DoD 合同。AWS 使国防承包商能够创建符合 CMMC 的环境,以处理、维护和存储 DoD 数据。

  • 什么是 CMMC?

    CMMC 代表“网络安全成熟度模型认证”。CMMC 包括多个成熟度等级,从“基本网络安全卫生”到“先进/高级”。 每个成熟度等级包括越来越严格的过程和实践要求,必须满足这些要求才能通过认证。DoD 合同将定义所需的 CMMC 等级;1 级 - 保护联邦合同信息 (FCI),2 级 - 过渡为控制非加密信息 (CUI),3 级 - 保护 CUI,4 级和 5 级 - 保护 CUI 并降低高级持续性威胁 (APT) 的风险。

    DoD 旨在将 CMMC 要求纳入国防联邦采办条例补充 (DFARS) 中,并将认证作为大部分 DoD 合同的要求。请访问 https://www.acq.osd.mil/cmmc/index.html 了解更多信息。

  • 为什么要实施 CMMC?

    DoD 正过渡到使用新的 CMMC 框架,以防止 DoD 敏感信息和知识产权被盗。CMMC 将评估和增强国防工业基地 (DIB) 供应链的网络安全性,并确保采取适当的网络安全实践和流程。

  • 谁需要进行 CMMC 认证?

    DoD 估计,超过 300,000 家组织需要进行一个 CMMC 等级(共五个等级)的评估和认证。这包括主要承包商、分包商以及向 DoD 销售商品或提供服务的所有组织。

  • DoD 将在何时实施 CMMC 要求?

    DoD 将从 2020 年开始将 CMMC 要求逐步纳入新合同中。2020 年,DoD 计划发出 10 封信息邀请书和 10 封需求建议书 (RFP) 以纳入 CMMC 要求。在接下来的五年里,CMMC 要求将以更快的速度纳入新的 DoD 合同中,截至 2026 财年,几乎所有新的 DoD 合同将会包括 CMMC 要求。

  • 是否有 DoD 供应链成员现在正使用 AWS?

    DoD 供应链中的各个组织、项目和承包商将使用 AWS 来转变其业务和运营。它们将利用 AWS 创建安全的环境,以根据 DFARS、DoD 云计算安全要求指南 (SRG)、联邦风险和授权管理计划 (FedRAMP) 以及其他联邦合规性计划的要求处理、维护和存储美国联邦政府数据。

    您可以查阅相关案例研究,了解 AWS 是如何帮助 DoD(包括美国国防后勤局美国空军美国海军美国特种作战司令部)以及 DoD 承包商(如 Lockheed MartinRaytheonGDIT)的。有关 AWS 如何满足 DoD 高安全要求的更多信息,请参阅适用于国防领域的云计算网页。

  • 组织该如何进行认证?

    CMMC 已成立了独立的非营利性认证机构 (AB),用于培训和认证来自经过认证的第三方评估组织 (C3PAO) 的评估人员。CMMC-AB 计划推出面向 DoD 承包商的 CMMC Marketplace,用于查看和选择经已获批的 C3PAO 并与之互动,以便进行评估和认证。

    DoD 承包商需要每三年通过一次由 C3PAO 执行的独立安全评估,并且需要通过特定 CMMC 成熟度等级认证。CMMC-AB 将在其网站上提供必要的信息和更新:https://www.cmmcab.org

  • AWS 是否已经过 CMMC 认证?

    CMMC-AB 还没有确定和认证任何评估人员和 C3PAO,并且也尚未创建提供有经过认证可执行评估的 C3PAO 列表的 CMMC-AB Marketplace。AWS 将在要求和认证流程方面与 DoD 和 CMMC-AB 携手合作。

  • AWS 是否提供了相应的解决方案来帮助获得 CMMC 认证?

    AWS 将在 CMMC 要求方面与 DoD 和 CMMC-AB 携手合作,帮助加快该要求在国防供应链 (DSC) 中的采用和认证。CMMC-AB 正在确定和培训经过认证的 CMMC 评估人员和 C3PAO,定义认证流程,详述 FedRAMP 互惠性和创建 CMMC Marketplace。AWS 旨在为需要加快 CMMC 认证、减少工作量和降低风险的客户提供 CMMC 解决方案。AWS 计划提供多个 CMMC 解决方案,其中包括自动化部署功能、参考架构、CMMC 实践责任矩阵、潜在 FedRAMP 授权继承(在由 DoD 定义之后)和配套的认证文档,供客户在寻求认证时使用。AWS 旨在让客户可以根据其业务和 DoD 计划的要求,灵活地在弗吉尼亚北部、AWS GovCloud(美国)等区域内部署和认证 AWS CMMC 解决方案。

如果您对 CMMC 或 DoD 合规性存在疑问,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系客户团队。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »