CMMC(Cybersecurity Maturity Model Certification)

개요

140940_AWS_Multi-Logo Graphic_600x400_DoD

미국 국방부(DoD: Department of Defense)의 인수 및 유지 담당 차관 사무소(OUSD: Office of the Under Secretary of Defense)는 주 계약업체 및 협력업체에 대한 사이버 보안 이벤트로부터 DoD의 지적 재산과 민감한 정보를 보호하기 위한 메커니즘으로 CMMC를 구현하고 있습니다. CMMC는 DIB(Defense Industrial Base) 회원사를 비롯한 DoD 외부 공급망의 보안 및 복원력에 초점을 맞춰, 대부분의 DoD 계약에 대해 조직이 제3의 평가자에 의한 인증을 거쳐야만 경쟁에 참여할 수 있도록 하는 도메인, 관행 및 절차에 대한 레벨별 요구 사항을 도입합니다. 방위 계약업체는 AWS를 통해 DoD 데이터를 처리, 유지 관리 및 저장하기 위한 CMMC 규정 준수 환경을 조성할 수 있습니다.

  • CMMC란 무엇입니까?

    CMMC란 "Cybersecurity Maturity Model Certification", 즉 "사이버 보안 성숙도 모델 인증"을 의미합니다. CMMC는 "Basic Cybersecurity Hygiene"(기본 사이버 보안 방역)에서 "Advanced/Progressive"(고급/진보)에 이르는 다양한 성숙도 레벨을 포함합니다. 각 성숙도 레벨마다 점점 더 까다로워지는 프로세스 및 실무 요구 사항을 충족해야 인증을 달성할 수 있습니다. DoD 계약에서는 필요한 CMMC 레벨을 정의합니다(레벨 1 - FCI(Federal Contract Information) 보호, 레벨 2 - CUI(Controlled Unclassified Information) 보호를 위한 전환, 레벨 3 - CUI 보호, 레벨 4 및 5 - CUI 보호 및 APT(Advanced Persistent Threats) 위험 감소).

    DoD는 CMMC 요구 사항을 DFARS(Defense Federal Acquisition Regulation Supplement)에 통합하여 대부분의 DoD 계약에 인증을 요구할 예정입니다. 자세한 내용은 https://www.acq.osd.mil/cmmc/index.html에서 확인하십시오.

  • CMMC를 구현하는 이유는 무엇입니까?

    DoD는 DoD의 민감한 정보와 지적 재산을 도난으로부터 보호하기 위해 새로운 CMMC 프레임워크로 전환하려고 합니다. CMMC는 DIB(Defense Industrial Base) 공급망의 사이버 보안을 평가 및 개선하고 적절한 사이버 보안 관행과 절차가 수립되어 있는지 확인합니다.

  • 누가 CMMC 인증을 받아야 합니까?

    DoD에 따르면 300,000개 이상의 조직이 5개의 CMMC 레벨 중 하나에 대한 평가 및 인증을 받아야 할 것으로 추정됩니다. 여기에는 주 계약업체와, 협력업체는 물론이고, 일반적으로 DoD에 제품 및 서비스를 판매하는 모든 조직이 포함됩니다.

  • DoD는 언제 CMMC 요구 사항을 구현할 예정입니까?

    DoD는 2020년부터 단계적으로 신규 계약에 CMMC 요구 사항을 적용할 것입니다. DoD는 2020년에 CMMC 요구 사항을 포함하기 위해 RFI(Requests for Information) 10건과 RFP(Requests for Proposal) 10건을 계획하고 있습니다. 향후 5년 동안 CMMC 요구 사항은 점점 더 빠른 속도로 신규 DoD 계약에 포함될 것이며, 2026 회계연도에는 거의 모든 신규 DoD 계약에 CMMC 요구 사항이 포함될 것입니다.

  • 현재 AWS를 이용하는 DoD 공급망 회원사가 있습니까?

    DoD 공급망의 광범위한 조직, 프로그램 및 계약업체가 AWS를 이용하여 비즈니스와 운영을 혁신하고 있습니다. 이들은 AWS를 활용하여 DFARS, DoD Cloud Computing SRG(Security Requirements Guide), FedRAMP(Federal Risk and Authorization Management Program) 및 기타 연방 규정 준수 프로그램에 따라 미국 연방 정부의 데이터를 처리, 유지 및 저장하기 위한 안전한 환경을 조성합니다.

    사례 연구를 검토하여 AWS가 미국 Defense Logistics Agency, 미국 공군, 미국 해군, 미국 Special Operations Command, 그리고 Lockheed Martin, Raytheon, GDIT 등의 DoD 계약업체를 비롯하여 DoD에 어떻게 도움이 되고 있는지 알아볼 수 있습니다. AWS가 DoD의 높은 보안 요구 사항을 충족하는 방법에 대한 자세한 내용은 Cloud Computing for Defense 웹 페이지를 참조하십시오.

  • 조직에서 인증을 받으려면 어떻게 해야 합니까?

    CMMC는 C3PAO(Certified Third-Party Assessment Organizations)에서 개별 평가 기관을 교육하고 인증하기 위해 독립적인 비영리 AB(인가 기관)를 설립했습니다. CMMC-AB는 DoD 계약업체들이 평가 및 인증을 위한 공인 C3PAO를 직접 보고 선택해서 계약할 수 있도록 CMMC Marketplace를 시작할 계획입니다.

    DoD 계약업체는 3년마다 C3PAO로부터 독립적인 보안 평가를 받아 특정 CMMC 성숙도 레벨에 대한 인증을 받게 됩니다. CMMC-AB는 자체 웹 사이트(https://www.cmmcab.org)에서 필요한 정보와 업데이트를 제공합니다.

  • AWS는 CMMC 인증을 받았습니까?

    CMMC-AB는 아직 평가 기관과 C3PAO를 식별 및 인증하지 않았으며, 평가를 수행하도록 인증된 C3PAO의 목록을 제공하는 CMMC-AB Marketplace도 아직 생성되지 않았습니다. AWS는 요구 사항 및 인증 프로세스와 관련하여 DoD 및 CMMC-AB와 협력하고 있습니다.

  • AWS에서는 CMMC 인증에 도움이 되는 솔루션을 제공합니까?

    AWS는 DSC(Defense Supply Chain)의 채택 및 인증을 가속화하기 위해 DoD 및 CMMC-AB와 협력하여 CMMC 요구 사항에 관여하고 있습니다. CMMC-AB는 인증된 CMMC 평가 기관 및 C3PAO를 식별 및 교육하고, 인증 프로세스를 정의하고, FedRAMP 통용성을 자세히 설명하고, CMMC Marketplace를 생성하는 과정에 있습니다. AWS는 고객에게 CMMC 인증을 가속화하면서 고객의 수고와 위험 수준을 줄여 줄 CMMC 솔루션을 제공하고자 합니다. AWS는 자동화된 배포 기능, 참조 아키텍처, CMMC 실무 책임 매트릭스, 잠재적 FedRAMP 인증 상속(DoD에 의해 정의된 경우) 및 고객이 CMMC 인증을 추구할 때 활용할 수 있는 인증 문서를 지원하는 CMMC 솔루션을 제공할 계획입니다. AWS는 고객에게 비즈니스 및 DoD 프로그램의 요구 사항에 따라 AWS 리전(버지니아 북부, AWS GovCloud(미국) 등)에서 AWS CMMC 솔루션을 배포하고 인증할 수 있는 유연성을 제공하고자 합니다.

CMMC 또는 DoD 규정 준수와 관련한 질문이 있는 경우 담당 AWS 계정 관리자에게 문의하거나 AWS 규정 준수 문의 양식을 제출하여 계정 팀에 연락하십시오.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »