網路安全成熟度模型認證 (CMMC)
AWS CMMC 合規的最新消息?
2021 年 11 月 4 日,美國國防部宣 (DoD) 佈了網路安全成熟度模型認證 (CMMC) 計劃的策略性指引,標誌著由 DoD 高階領導者領導的內部計劃評估的完成。CMMC 2.0 計劃保持了最初的目標,即保護敏感資訊,同時簡化 CMMC 標準並明確要求。
2021 年 12 月 3 日,美國國防部宣 (DoD) 發佈了 CMMC 2.0 模型概觀。CMMC 2.0 模型包含聯邦採購條例 (FAR) 52.204-21 中規定的 FCI 基本保護要求,以及 NIST SP 800-171r2 中根據國防聯邦採購條例補充 (DFARS) 條款 252.204-7012 規定的 CUI 安全要求。
CMMC 1 級 (基礎) 僅適用於設置有 FCI 的公司;資訊需要保護,但對國家安全並不重要;需要 17 項基本保護措施;CMMC 1 級範圍界定指南
CMMC 2 級 (進階) 適用於設置有 CUI 的公司;需要 NIST SP 800-171r2 中的 110 項實務;可能需要第三方或自我評估,具體取決於資訊類型;CMMC 2 級範圍界定指南
CMMC 3 級 (專家) 用於設置有 CUI 的最高優先級計劃;使用 NIST SP 800-172 的子集;將由政府官員進行評估。
概觀
- 分級模型:CMMC 要求受託國家安全資訊的公司根據資訊的類型和敏感度逐步實作進階等級的網路安全標準。此計劃還規定了資訊流向轉包商的程序。
- 評定要求:CMMC 評定允許 DoD 驗證明確的網路安全標準的實作情況。
- 透過合約實作:一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感 DoD 資訊的 DoD 承包商將需要達到特定的 CMMC 等級。
-
什麼是 CMMC 2.0?
CMMC 2.0 是下一個反覆運算的 DoD 的 CMMC 網路安全模型。它將要求簡化為三個等級的網路安全 (基礎、進階和專家),並將每個等級的要求與非常知名且廣泛接受的 NIST 網路安全標準保持一致。 -
為什麼要實作 CMMC 2.0?
網路安全是國防部的首要考量。
國防產業基地 (DIB) 是日益頻繁和複雜的網路攻擊的目標。為了保護美國的獨創性和國家安全資訊,DoD 制定了 CMMC 2.0 以動態增強 DIB 網路安全,以應對不斷變化的威脅並保護資訊。
-
誰需要獲得 CMMC 認證?
一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感 DoD 資訊的 DoD 承包商將需要達到特定的 CMMC 等級。 -
DoD 何時實作 CMMC 2.0 要求?
DoD 表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。 DoD 估計從 2021 年 11 月起需要 9-24 個月完成該程序。
一旦實作 CMMC 2.0,DoD 將在徵求和任何資訊請求 (RFI) 中指定所需的 CMMC 等級 (如果使用)。 -
目前有 DoD 供應鏈成員在使用 AWS 嗎?
DoD 供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們將按照國防聯邦採購條例補充 (DFARS)、DoD 雲端運算安全要求指南 (SRG)、聯邦風險與授權管理計劃 (FedRAMP) 及其他聯邦合規計劃的要求,充分利用 AWS 建立安全的雲端環境,來處理、維護和存放美國聯邦政府資料。
您可以檢閱案例研究,了解 AWS 如何為 DoD 提供協助,包括美國國防後勤局、美國空軍、美國海軍和美國特種作戰司令部,以及 DoD 承包商,例如 Lockheed Martin、Raytheon和 GDIT。如需有關 AWS 如何滿足 DoD 高安全要求的詳細資訊,請參閱國防雲端運算網頁。
-
新的 DoD「臨時規則」對我的組織有何影響?
臨時 DFARS 規則建立了一個為期五年的過渡期,在此期間,僅在選定的試用合約中要求 CMMC 合規,並經負責收購和維持事務的副部長辦公室 (OUSD(A&S)) 核准。DoD 表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。
一旦透過規則制定對 CMMC 2.0 進行編碼,DoD 將要求公司遵守已修訂的 CMMC 2.0 架構。 -
雲端服務是否需要通過 CMMC 認證?
否。CMMC 會衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 等級要求作比較)。
作為雲端服務供應商 (CSP),AWS 獲得了 FedRAMP High 的 FedRAMP 和國防資訊系統局 (DISA) 的 SRG 影響等級 2、4 和 5 的授權。 -
AWS 是否與其他合規計劃一起提供 CMMC 2.0 互惠協議?
否。DoD 尚未定義其他合規計劃 (例如 FedRAMP 或 ISO 27001 資訊安全管理) 將如何映射至 CMMC 2.0 等級。 -
AWS 是否提供解決方案和合規文件來協助進行 CMMC 2.0 認證?
是。 在 CMMC 2.0 下,「進階」等級 (等級 2) 將等同於 NIST SP 800-171。目前正在制定的「專家」等級 (等級 3) 將依據 NIST SP 800-172 要求的子集。
AWS 發佈了 NIST SP 800-171 客戶責任矩陣 (CRM),它與 CMMC 2.0 等級 2 (進階) 一致,並提供了 NIST SP 800-171 安全控制的明細,客戶可以使用 AWS GovCloud (US) 中的聯邦和 DoD 工作負載的合規架構從 AWS 繼承這些控制。
該 AWS NIST SP 800-171 CRM 套件可同時在 AWS 標準和 AWS GovCloud (US) 區域的 AWS Artifact 中供客戶下載。 -
AWS 專業服務是否支援客戶滿足其 CMMC 合規要求?
是。AWS 專業服務顧問接受了 AWS GovCloud (US) 中的聯邦和 DoD 工作負載的合規架構方面的培訓,並且能夠為客戶實作提供支援,應對 CMMC 合規性挑戰。
-
我應使用哪個 AWS 區域來部署我們的 CMMC 2.0 雲端環境?
AWS 擬根據客戶的業務和 DoD 計劃與合約的要求,在標準和受限區域 (美國東部/西部、AWS GovCloud (US) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 2.0 解決方案。
如果您有 CMMC 或 DoD 合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。
