網路安全成熟度模型認證 (CMMC)

AWS CMMC 合規的最新消息?

2022 年 7 月 27 日,網路安全認證機構 (Cyber AB) 發布了其網路安全成熟度模型認證 (CMMC) 評估流程 (CAP) 的預先決定草案。  Cyber AB 負責認證 CMMC 第三方評估組織 (C3PAO)。  C3PAO 根據 CAP 草案評估國防工業基地 ("DIB") 的承包商和轉包商。CMMC 評估流程是關於如何進行 CMMC 評估的指南。

DRAFT CAP 的發佈將幫助國防工業基地和 C3PAO,為預計將於 2023 年開始的 DFARS 252.204-7020 / CMMC 評估做準備。

概觀

網路安全成熟度模型認證 (CMMC) 計劃提高了 DIB 中公司的網路保護標準。旨在保護國防部與其承包商和轉包商共享的敏感非機密資訊。該計劃將一組網路安全要求納入採購計劃,並為國防部提供更多保證,確保承包商和轉包商滿足這些要求。
 
架構有三個主要特色:
  • 分層模型:CMMC 要求受託管理國家安全資訊的公司,根據資訊的類型和敏感性,逐步實作網路安全標準。該計劃還規定了資訊流向轉包商的流程。
  • 評估要求:CMMC 評估允許國防部驗證明確的網路安全標準的實作情況。
  • 透過合約實作:一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。
  • CMMC 2.0 是國防部 CMMC 網路安全模型的下一次反覆運作。它將要求簡化為三個等級的網路安全 (基礎、進階和專家),並將每個等級的要求與非常知名且廣泛接受的 NIST 網路安全標準保持一致。
  • 2021 年 12 月 3 日,美國國防部 (DoD) 發佈了 CMMC 2.0 模型概觀。CMMC 2.0 模型包含聯邦採購條例 (FAR) 52.204-21 中指定的 FCI 基本保障要求和 NIST SP 800-171r2 中根據國防聯邦採購條例補編 (DFARS) 條款 252.204-7012 對 CUI 的安全要求。

    CMMC 1 級 (基礎) 僅適用於設置有 FCI 的公司;資訊需要保護,但對國家安全並不重要;需要 17 項基本保護措施;CMMC 1 級範圍界定指南

    CMMC 2 級 (進階) 適用於設置有 CUI 的公司;需要 NIST SP 800-171r2 中的 110 項實務;可能需要第三方或自我評估,具體取決於資訊類型;CMMC 2 級範圍界定指南

    CMMC 3 級 (專家) 用於設置有 CUI 的最高優先級計劃;使用 NIST SP 800-172 的子集;將由政府官員進行評估。

  • 網路安全是國防部的首要考量。

    國防工業基地 (DIB) 是日益頻繁和複雜的網路攻擊的目標。為了保護美國人的獨創性和國家安全資訊,國防部開發了 CMMC 2.0 以動態增強 DIB 網路安全,以應對不斷變化的威脅並保護資訊。
  • 一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。
  • 國防部表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。  國防部估計該程序的完成時間為 2021 年 11 月起的 9-24 個月。      

    一旦實作 CMMC 2.0,國防部將在招標和任何資訊請求 (RFI) 中指定所需的 CMMC 等級 (如果使用)。

  • 國防部供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們按照國防聯邦採購條例補編 (DFARS)、國防部遠端運算安全要求指南 (SRG)、聯邦政府風險與授權管理計劃和其他的聯邦合規計劃,充分利用 AWS 建立安全的雲端環境,來處理、維護和儲存美國聯邦政府資料。

    您可以檢閱案例研究,了解 AWS 如何為國防部提供協助,包括美國國防後勤局美國空軍美國海軍,和美國特種作戰司令部,以及國防部承包商,例如 Lockheed MartinRaytheonGDIT。如需有關 AWS 如何滿足國防部高安全性要求的詳細資訊,請參閱國防雲端運算網頁。

  • 臨時 DFARS 規則建立了一個五年的逐步實施期,在此期間,僅在選定的試驗合約中才需要 CMMC 合規性,並獲得負責收購和維持事務的副部長辦公室 (OUSD(A&S)) 的核准。國防部表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。

    一旦透過規則制定將 CMMC 2.0 編纂成法典,國防部將要求公司遵守修訂後的 CMMC 2.0 架構。
  • 否。CMMC 衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 等級要求作比較)。 

    作為雲端服務供應商 (CSP),AWS 在 FedRAMP High 上獲得了 FedRAMP 的授權,在 SRG Impact 等級 2、4 和 5 上獲得了國防資訊系統局 (DISA) 的授權。
  • 否。國防部尚未定義其他合規計劃 (例如 FedRAMP 或 ISO 27001 資訊安全管理) 將如何映射至 CMMC 2.0 等級。
  • AWS CMMC 客戶套件提供了 CMMC 2 級/NIST SP 800-171 安全控制的明細,客戶可以透過使用 AWS GovCloud (美國) 中的 AWS Landing Zone Accelerator (AWS 登陸區域加速器) 從 AWS 繼承這些安全控制。

    該 AWS CMMC 客戶套件可同時在 AWS 標準和 AWS GovCloud (美國) 區域的 AWS Artifact 中供客戶下載。 

  • 是。AWS Professional Services 顧問接受了 AWS GovCloud (美國) AWS Landing Zone Accelerator (AWS 登陸區域加速器) 方面的培訓,並且能夠為客戶實作提供支援,應對 CMMC 合規性挑戰。 

  • AWS 擬根據客戶的業務和國防部計劃與合約的要求,在標準和受限區域 (美國東部/西部、AWS GovCloud (美國) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 2.0 解決方案。

如果您有 CMMC 或國防部合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。

CMMC 資源

有關支援我們客戶的 DFARS、NIST SP 800-171 或 CMMC 要求的 AWS 解決方案和服務的詳細資訊,請透過 cmmconaws@amazon.com 聯絡我們 

有問題? 聯繫 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »