网络安全成熟度模型认证 (CMMC)

AWS CMMC 合规性有什么新增内容?

2021 年 11 月 4 日,美国国防部 (DOD) 宣布了网络安全成熟度模型认证 (CMMC) 项目的战略方向,标志着由国防部高层领导领导的内部项目评估完成。CMMC 2.0 计划在简化 CMMC 标准和提供清晰的要求的同时,维护了项目保护敏感信息的初始目标。

2021 年 12 月 3 日,美国国防部 (DoD) 发布了 CMMC 2.0 模型概览。CMMC 2.0 模型包含联邦采购条例 (FAR) 52.204-21 中规定的 FCI 基本保护要求,以及 NIST SP 800-171r2 中根据国防联邦采购条例补充 (DFARS) 条款 252.204-7012 中规定的 CUI 安全要求。

CMMC 第 1 级(基础)仅适用于拥有 FCI 的公司; 信息需要保护,但对国家安全并不重要; 需要 17 项基本保护措施; CMMC 第 1 级规划指南

CMMC 第 2 级(高级)适用于拥有 CUI 的公司; 将需要来自 NIST SP 800-171r2 中的 110 个实践; 可能需要第三方或自我评估,具体取决于信息类型;CMMC 第 2 级规划指南

CMMC 第 3 级(专家)适用于 CUI 的最高优先级项目; 将使用 NIST SP 800-172 的子集; 将由政府官员进行评估。

为帮助我们的客户从 CMMC 1.0 过渡到 CMMC 2.0,AWS 发布了符合 CMMC 2.0 第 2 级高级的 NIST SP 800-171 客户责任矩阵 (CRM),并提供了 NIST SP 800-171 安全控制机制的细分,客户可以通过 在 AWS GovCloud(美国)区域中使用 AWS 联邦和国防部工作负载的合规框架从 AWS 中继承这些安全控制机制。
 
客户可在 AWS 标准及 AWS GovCloud(美国)区域的 AWS Artifact 中下载 AWS NIST SP 800-171 CRM 客户包。

概览

网络安全成熟度模型认证 (CMMC) 计划提高了 DIB 公司的网络保护标准。它旨在保护国防部与其承包商和分包商共享的敏感非机密信息。该计划将一系列网络安全要求纳入采购计划,并向国防部进一步保证承包商和分包商满足这些要求的保证。
 
该框架具有三个关键特性:
  • 分层模型:CMMC 要求受托国家安全信息的公司根据信息的类型和敏感性逐步实施网络安全标准。该计划还规定了信息流向分包商的流程。
  • 评估要求:CMMC 评估允许国防部验证明确的网络安全标准的实施情况。
  • 通过合同实施:一旦 CMMC 完全实施,作为授予合同的条件,某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的 CMMC 级别。

如果您对 CMMC 或 DoD 合规性存在疑问,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系客户团队。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »