网络安全成熟度模型认证 (CMMC)

概览

网络安全成熟度模型认证 (CMMC) 计划提高了 DIB 公司的网络保护标准。它旨在保护国防部与其承包商和分包商共享的敏感非机密信息。该计划将一系列网络安全要求纳入采购计划,并向国防部进一步保证承包商和分包商满足这些要求的保证。
 
该框架具有三个关键特性:
  • 分层模型:CMMC 要求受托国家安全信息的公司根据信息的类型和敏感性逐步实施网络安全标准。该计划还规定了信息流向分包商的流程。
  • 评估要求:CMMC 评估允许国防部验证明确的网络安全标准的实施情况。
  • 通过合同实施:一旦 CMMC 完全实施,作为授予合同的条件,某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的 CMMC 级别。
  • CMMC 2.0 是国防部 CMMC 网络安全模型的下一次迭代。它将要求简化为三个级别的网络安全—基础、高级和专家级—并将每个级别的要求与众所周知和广泛接受的 NIST 网络安全标准保持一致。

  • 2021 年 12 月 3 日,美国国防部(DoD)发布了 CMMC 2.0 模型概览。CMMC 2.0 模型包含联邦采购条例 (FAR) 52.204-21 中规定的 FCI 基本保护要求,以及 NIST SP 800-171r2 中根据国防联邦采购条例补充 (DFARS) 条款 252.204-7012 中规定的 CUI 安全要求。

    CMMC 第 1 级(基础)仅适用于拥有 FCI 的公司;信息需要保护,但对国家安全并不重要;需要 17 项基本保护措施;CMMC 第 1 级规划指南

    CMMC 第 2 级(高级)适用于拥有 CUI 的公司;将需要来自 NIST SP 800-171r2 中的 110 个实践;可能需要第三方或自我评估,具体取决于信息类型;CMMC 第 2 级规划指南

    CMMC 第 3 级(专家)适用于 CUI 的最高优先级项目;将使用 NIST SP 800-172 的子集;将由政府官员进行评估。

  • 网络安全是国防部的重中之重。

    国防工业基地 (DIB) 是日益频繁和复杂的网络攻击的目标。为了保护美国的独创力和国家安全信息,国防部开发了 CMMC 2.0 来动态增强 DIB 网络安全,以应对不断变化的威胁并保护信息。
  • 一旦 CMMC 完全实施,作为授予合同的条件,某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的 CMMC 级别。

  • 国防部表示,在 CMMC 2.0 规则制定过程完成之前,它不打算批准在任何合同中包含 CMMC 要求。  国防部估计从 2021 年 11 月起需要 9-24 个月完成该过程。      

    一旦实施了 CMMC 2.0,国防部将在征求和任何信息请求 (RFI) 中指定所需的 CMMC 级别(如果使用)。

  • 国防部供应链中的各个组织、项目和承包商将使用 AWS 来转变其业务和运营。它们将利用 AWS 创建安全的云环境,以根据国防联邦采办条例补充 (DFARS)、DoD 云计算安全要求指南 (SRG)、联邦风险和授权管理计划 (FedRAMP) 以及其他联邦合规性计划的要求处理、维护和存储美国联邦政府数据。

    您可以查阅相关案例研究,了解 AWS 是如何帮助 DoD(包括美国国防后勤局美国空军美国海军美国特种作战司令部)以及 DoD 承包商(如 Lockheed MartinRaytheonGDIT)的。有关 AWS 如何满足国防部高安全要求的更多信息,请参阅适用于国防领域的云计算网页。

  • 临时 DFARS 规则建立了一个为期五年的过渡期,在此期间,仅在选定的试点合同中要求遵守 CMMC,并经国防部采购和维持副部长办公室 (OUSD(A&S)) 批准。国防部表示,在 CMMC 2.0 规则制定过程完成之前,它不打算批准在任何合同中包含 CMMC 要求。

    一旦 CMMC 2.0 通过规则制定,国防部将要求公司遵守修订后的 CMMC 2.0 框架。
  • 否。CMMC 针对特定 CMMC 等级的要求来衡量 DIB 承包商的网络安全能力和流程。 

    作为云服务提供商 (CSP),AWS 获得了 FedRAMP 的 FedRAMP High 授权,以及国防信息系统局 (DISA) 的 SRG 影响级别 2、4 和 5 授权。
  • 否。国防部尚未定义其他合规性计划(例如 FedRAMP 或 ISO 27001 信息安全管理)将如何映射到 CMMC 2.0 级别。

  • AWS CMMC 客户包提供了客户可以使用 AWS GovCloud(美国)中的 AWS 登录区加速器从 AWS 继承的 CMMC 2 级/NIST SP 800-171 安全控制的明细。

    客户可在 AWS 标准及 AWS GovCloud(美国)区域的 AWS Artifact 中下载 AWS CMMC 客户包。 

  • 是。AWS Professional Services 顾问接受过在 AWS GovCloud(美国)进行的 AWS 登录区加速器方面的培训,并且能够支持可解决 CMMC 合规性挑战的客户实施。 

  • AWS 旨在让客户可以根据其业务和国防部计划和合同的要求,灵活地在标准和限制性区域(美国东部/西部、AWS GovCloud(美国)等)内部署和认证 AWS CMMC 2.0 解决方案。

如果您对 CMMC 或 DoD 合规性存在疑问,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系客户团队。

CMMC 资源

有关支持我们客户的 DFARS、NIST SP 800-171 或 CMMC 要求的 AWS 解决方案和服务的更多信息,请通过 cmmconaws@amazon.com 联系我们 

AWS 上的登录区加速器
使用 AWS 满足 DFARS 要求
有关 CMMC 的 AWS 公共部门博客
AWS GovCloud(美国)
FedRAMP 合规性
有问题? 联系 AWS 业务代表
联系我们
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »