網路安全成熟度模型認證 (CMMC)

AWS CMMC 合規的最新消息?

2021 年 11 月 4 日,美國國防部宣 (DoD) 佈了網路安全成熟度模型認證 (CMMC) 計劃的策略性指引,標誌著由 DoD 高階領導者領導的內部計劃評估的完成。CMMC 2.0 計劃保持了最初的目標,即保護敏感資訊,同時簡化 CMMC 標準並明確要求。

2021 年 12 月 3 日,美國國防部宣 (DoD) 發佈了 CMMC 2.0 模型概觀。CMMC 2.0 模型包含聯邦採購條例 (FAR) 52.204-21 中規定的 FCI 基本保護要求,以及 NIST SP 800-171r2 中根據國防聯邦採購條例補充 (DFARS) 條款 252.204-7012 規定的 CUI 安全要求。

CMMC 1 級 (基礎) 僅適用於設置有 FCI 的公司;資訊需要保護,但對國家安全並不重要;需要 17 項基本保護措施;CMMC 1 級範圍界定指南

CMMC 2 級 (進階) 適用於設置有 CUI 的公司;需要 NIST SP 800-171r2 中的 110 項實務;可能需要第三方或自我評估,具體取決於資訊類型;CMMC 2 級範圍界定指南

CMMC 3 級 (專家) 用於設置有 CUI 的最高優先級計劃;使用 NIST SP 800-172 的子集;將由政府官員進行評估。

為了協助我們的客戶從 CMMC 1.0 轉換到 CMMC 2.0,AWS 發佈了 NIST SP 800-171 客戶責任矩陣 (CRM),它與 CMMC 2.0 等級 2 (進階) 一致,並提供了 NIST SP 800-171 安全控制的明細,客戶可以使用 AWS GovCloud (US) 中的聯邦和國防部工作負載的相容架構從 AWS 繼承這些控制。
 
該 AWS NIST SP 800-171 CRM 套件可同時在 AWS 標準和 AWS GovCloud (US) 區域的 AWS Artifact 中供客戶下載。

概觀

網路安全成熟度模型認證 (CMMC) 計劃提高了 DIB 公司的網路保護標準。旨在保護 DoD 與其承包商和轉包商共享的非機密的敏感資訊。此計劃將一組網路安全要求納入採購計劃,並為 DoD 提供更多保證,保證承包商和轉包商滿足這些要求。
 
此架構具有以下三個主要功能:
  • 分級模型:CMMC 要求受託國家安全資訊的公司根據資訊的類型和敏感度逐步實作進階等級的網路安全標準。此計劃還規定了資訊流向轉包商的程序。
  • 評定要求:CMMC 評定允許 DoD 驗證明確的網路安全標準的實作情況。
  • 透過合約實作:一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感 DoD 資訊的 DoD 承包商將需要達到特定的 CMMC 等級。

如果您有 CMMC 或 DoD 合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »