网络安全成熟度模型认证 (CMMC)

概览

美国负责采办和保障的国防部 (DoD) 副部长办公室将把 CMMC 作为一项机制实施,以帮助保护 DoD 知识产权和敏感信息,使其不受针对主要承包商和分包商的网络安全事件的攻击。CMMC 专注于 DoD 外部供应链(包括国防工业基地 (DIB) 成员)的安全性和弹性,它引入了组织必须经过第三方评估人员认证的域、实践和程序级别要求,以便夺得大部分 DoD 合同。AWS 使国防承包商能够创建符合 CMMC 的环境,以处理、维护和存储 DoD 数据。

  • 什么是 CMMC?

    CMMC 代表“网络安全成熟度模型认证”。 CMMC 包括多个成熟度等级,从“基本网络安全卫生”到“先进/高级”。 每个成熟度等级包括越来越严格的过程和实践要求,必须满足这些要求才能通过认证。DoD 合同将定义所需的 CMMC 等级;1 级 - 保护联邦合同信息 (FCI),2 级 - 过渡为控制非加密信息 (CUI),3 级 - 保护 CUI,4 级和 5 级 - 保护 CUI 并降低高级持续性威胁 (APT) 的风险。请访问 CMMC 网站以了解更多信息。

  • 为什么要实施 CMMC?

    DoD 正过渡到使用新的 CMMC 框架,以防止 DoD 敏感信息和知识产权被盗。CMMC 框架将评估和增强国防工业基地 (DIB) 供应链的网络安全性,并验证是否采取了适当的网络安全实践和流程。

  • 谁需要进行 CMMC 认证?

    DoD 估计,超过 300,000 家 DIB 组织需要进行一个 CMMC 等级(共五个等级)的评估和认证。这包括主要承包商、分包商以及向 DoD 销售商品或提供服务的所有组织。CMMC 等级要求将由 DoD 合同单独发布。

  • DoD 将在何时实施 CMMC 要求?

    DoD 将从 2021 年 4 月开始逐步实施 CMMC 对 DoD 建议请求 (RFP) 和合同的要求,并计划在 2026 年全面实施。DoD 已经确定了 15 个初始采购项目,称为试点项目,以参与 CMMC 的初始部署。在接下来的五年里,CMMC 要求将以更快的速度纳入新的 DoD 合同中,到 2026 年,几乎所有新的 DoD 合同将会包括 CMMC 要求。

  • 是否有 DoD 供应链成员现在正使用 AWS?

    DoD 供应链中的各个组织、项目和承包商将使用 AWS 来转变其业务和运营。它们将利用 AWS 创建安全的云环境,以根据国防联邦采办条例补充 (DFARS)、DoD 云计算安全要求指南 (SRG)、联邦风险和授权管理计划 (FedRAMP) 以及其他联邦合规性计划的要求处理、维护和存储美国联邦政府数据。

    您可以查阅相关案例研究,了解 AWS 是如何帮助 DoD(包括美国国防后勤局美国空军美国海军美国特种作战司令部)以及 DoD 承包商(如 Lockheed MartinRaytheonGDIT)的。有关 AWS 如何满足 DoD 高安全要求的更多信息,请参阅适用于国防领域的云计算网页。

  • 新的 DoD“暂行规则”如何影响我的组织?

    2020 年 9 月 29 日,DoD 发布了一项“暂行规则”,确立了三个于 2020 年 11 月 30 日生效的新 DFAR 要求,并根据 DFARS 要求 252.204-7012,保护涵盖的国防信息和网络事件报告进行了扩展。“暂行规则”通过以下方法根据初始规则和建立的三个新要求进行了扩展:(1) 要求每三年强制进行一次自我评估 (DFARS 252.204-7019),(2) 向 DoD 供应商绩效风险体系 (SPRS) (DFARS 252.204-7020) 报告自我评估结果,以及 (3) 要求 DoD 采购官员在未来的 DoD 采购中纳入 DFARS 规则 252.204-7021、CMMC 要求。

  • 组织该如何进行认证?

    DoD 成立了 CMMC 咨询委员会 (CMMC-AB),作为负责管理 C3PAO、评估机构和 DIB 实体的 CMMC 认证过程的独立组织。C3PAO 评估机构将以 CMMC 等级作为标准来评估组织。美国国防合同管理署 (DCMA) 宣布,他们计划从 2021 年 3 月开始将 C3PAO 认证为通过 CMMC 第 3 级认证。CMMC-AB 维护了一个 CMMC 市场,可在 https://cmmcab.org/marketplace/ 中识别 C3PAO。

  • AWS 是否已经过 CMMC 认证?

    AWS 已经完成了由独立第三方评估组织 (3PAO) 进行的 NIST SP 800-171 评估,并实施了 SP 800-171 中的全部 110 项控制措施。AWS 已聘请 C3PAO 进行 CMMC 评估,并且在等待其 C3PAO 获得 DCMA 的“认证”。

  • 云服务是否需要经过 CMMC 认证?

    否。CMMC 是一种认证,与特定 CMMC 等级的要求相比,该认证用于衡量 DIB 承包商的网络安全能力和流程。

  • AWS 是否提供 CMMC 互惠性和其他合规性计划?

    否。OUSD(A&S) 尚未定义其他合规性计划(如 FedRAMP、ISO 27001 信息安全管理或国防工业基地网络安全评估中心 (DIBCAC) 评估如何与 DoD“暂行规则”或 CMMC 版本 1.02 中的 CMMC 等级相匹配。OUSD(A&S) 宣布他们打算在 CMMC 2.0 版本中向其他合规性计划授予互惠性。

  • AWS 是否提供解决方案和合规性文档来帮助获得 CMMC 认证?

    AWS 正在与 DoD 和 CMMC-AB 就 CMMC 要求和开发解决方案进行合作,以帮助客户加速部署和认证。2020 年 12 月 22 日,AWS 发布了在 AWS GovCloud(美国)区域运行联邦和国防部工作负载的合规框架,以帮助客户在 AWS GovCloud(美国)区域部署基础的 AWS 基础设施,从而基于 AWS 最佳实践支持自动化、安全、可扩展的多账户环境。该解决方案旨在满足 DoD 对 CMMC 的要求,以及云中影响等级 (IL) 为 4 和 IL 5 的工作负载的 DoD 云计算安全要求指南 (CC SRG)。 

    有关 AWS CMMC 合规性文档,以及如何访问的更多信息,请联系您的 AWS 客户经理或 联系我们

  • AWS 专业服务是否支持客户满足其 CMMC 合规性要求?

    是。AWS Professional Services 顾问接受过在 AWS GovCloud(美国)区域运行联邦和国防部工作负载的 AWS 合规框架方面的培训,并且能够支持可解决 CMMC 合规性挑战的客户实现。

  • 我应该使用哪些 AWS 区域部署我们的 CMMC 云环境?

    AWS 旨在让客户可以根据其业务和 DoD 计划和合同的要求,灵活地在标准和限制性区域(美国东部/西部、AWS GovCloud(美国)等)内部署和认证 AWS CMMC 解决方案。

如果您对 CMMC 或 DoD 合规性存在疑问,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系客户团队。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »