CMMC(Cybersecurity Maturity Model Certification)

AWS CMMC 규정 준수의 새로운 소식

2021년 11월 4일에 DOD는 Cybersecurity Maturity Model Certification(CMMC) 프로그램의 전략적 방향을 발표하여 DOD의 지휘관들이 주도한 내부 프로그램 평가를 완료했습니다. CMMC 2.0 프로그램은 CMMC 표준을 간소화하고 요구 사항을 분명히 하는 동시에 중요한 정보를 보호한다는 원래의 목표를 유지합니다.

2021년 12월 3일, DoD는 CMMC 2.0 Model Overview를 발표했습니다. CMMC 2.0 모델은 연방조달규정(FAR) 52.204-21에 명시된 FCI에 대한 기본적인 안전 요구 사항과 미합중국 국방부 연방조달규정 추록(DFARS)의 252.204-7012항에 따라 NIST SP 800-171r2의 CUI에 대한 보안 요구 사항을 포함합니다.

FCI만 해당되는 회사의 경우 CMMC Level 1(기본). 정보를 보호해야 하지만, 국가 안보에 중요하지 않으며, 17개 기본적인 안전 사례를 준수해야 하고, CMMC Level 1 범위 지침을 제공합니다.

CUI에 해당되는 회사의 경우 CMMC Level 2(고급). NIST SP 800-171r2에서 규정한 110개의 사례를 준수해야 하고, 정보 유형에 따라 서드 파티 또는 자체 평가를 요구할 수 있으며, CMMC Level 2 범위 지침을 제공합니다.

CUI를 최우선시하는 프로그램의 경우 CMMC Level 3(전문). NIST SP 800-172 하위 조항이 적용되며, 공무원의 평가를 받습니다.

CMMC 1.0에서 CMMC 2.0로의 전환에서 고객을 지원하기 위해 AWS는 NIST SP 800-171 Customer Responsibility Matrix(CRM)를 릴리스했습니다. 이 CRM은 CMMC 2.0 레벨 2 Advanced에 맞춰졌으며 고객이 AWS에서 AWS GovCloud(미국)의 연방 및 DoD 워크로드에 대한 AWS 규정 준수 프레임워크를 사용하여 상속할 수 있는 NIST SP 800-171 보안 제어의 내역을 제공합니다.
 
AWS NIST SP 800-171 CRM 패키지는 AWS 표준 리전과 AWS GovCloud(미국) 리전 모두에서 AWS Artifact를 통해 다운로드할 수 있습니다.

개요

CMMC(Cybersecurity Maturity Model Certification) 프로그램은 DIB에 속한 기업의 사이버 보호 표준을 강화하며, DoD가 계약자 및 하청 계약자와 공유하는 민감한 분류되지 않은 정보를 보호하도록 설계되었습니다. 이 프로그램은 일련의 사이버 보안 요구 사항을 획득 프로그램에 통합하고 계약자 및 하청 계약자가 이러한 요구 사항을 충족하고 있다는 DoD의 향상된 보증을 제공합니다.
 
프레임워크에는 세 가지 주요 특성이 있습니다.
  • 계층화된 모델: CMMC는 국가 안보 정보를 위탁받은 기업이 정보의 유형 및 민감도에 따라 점진적으로 고급 수준에서 사이버 보안 표준을 구현하도록 요구합니다. 또한 정보 흐름을 위한 프로세스를 하청업체로 전달합니다.
  • 평가 요구 사항: CMMC 평가를 통해 DoD는 명확한 사이버 보안 표준의 구현을 확인할 수 있습니다.
  • 계약을 통한 구현: CMMC가 완전히 구현되면 민감한 미분류 DoD 정보를 처리하는 특정 DoD 계약자는 계약 낙찰 조건으로 특정 CMMC 수준을 달성해야 합니다.

CMMC 또는 DoD 규정 준수와 관련한 질문이 있는 경우 담당 AWS 계정 관리자에게 문의하거나 AWS 규정 준수 문의 양식을 제출하여 계정 팀에 연락하십시오.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »