網路安全成熟度模型認證 (CMMC)

概觀

網路安全成熟度模型認證 (CMMC) 計劃提高了 DIB 中公司的網路保護標準。旨在保護國防部與其承包商和轉包商共享的敏感非機密資訊。該計劃將一組網路安全要求納入採購計劃,並為國防部提供更多保證,確保承包商和轉包商滿足這些要求。
 
架構有三個主要特色:
  • 分層模型:CMMC 要求受託管理國家安全資訊的公司,根據資訊的類型和敏感性,逐步實作網路安全標準。該計劃還規定了資訊流向轉包商的流程。
  • 評估要求:CMMC 評估允許國防部驗證明確的網路安全標準的實作情況。
  • 透過合約實作:一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。
  • CMMC 2.0 是國防部 CMMC 網路安全模型的下一次反覆運作。它將要求簡化為三個等級的網路安全 (基礎、進階和專家),並將每個等級的要求與非常知名且廣泛接受的 NIST 網路安全標準保持一致。

  • 2021 年 12 月 3 日,美國國防部 (DoD) 發佈了 CMMC 2.0 模型概觀。CMMC 2.0 模型包含聯邦採購條例 (FAR) 52.204-21 中指定的 FCI 基本保障要求和 NIST SP 800-171r2 中根據國防聯邦採購條例補編 (DFARS) 條款 252.204-7012 對 CUI 的安全要求。

    CMMC 1 級 (基礎) 僅適用於設置有 FCI 的公司;資訊需要保護,但對國家安全並不重要;需要 17 項基本保護措施;CMMC 1 級範圍界定指南

    CMMC 2 級 (進階) 適用於設置有 CUI 的公司;需要 NIST SP 800-171r2 中的 110 項實務;可能需要第三方或自我評估,具體取決於資訊類型;CMMC 2 級範圍界定指南

    CMMC 3 級 (專家) 用於設置有 CUI 的最高優先級計劃;使用 NIST SP 800-172 的子集;將由政府官員進行評估。

  • 網路安全是國防部的首要考量。

    國防工業基地 (DIB) 是日益頻繁和複雜的網路攻擊的目標。為了保護美國人的獨創性和國家安全資訊,國防部開發了 CMMC 2.0 以動態增強 DIB 網路安全,以應對不斷變化的威脅並保護資訊。
  • 一旦 CMMC 完全實作,作為授予合約的條件,某些處理非機密敏感國防部資訊的國防部承包商將需要達到特定的 CMMC 等級。

  • 國防部表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。  國防部估計該程序的完成時間為 2021 年 11 月起的 9-24 個月。      

    一旦實作 CMMC 2.0,國防部將在招標和任何資訊請求 (RFI) 中指定所需的 CMMC 等級 (如果使用)。

  • 國防部供應鏈中的廣大組織、計劃和承包商都將使用 AWS 來變革其業務和營運。他們按照國防聯邦採購條例補編 (DFARS)、國防部遠端運算安全要求指南 (SRG)、聯邦政府風險與授權管理計劃和其他的聯邦合規計劃,充分利用 AWS 建立安全的雲端環境,來處理、維護和儲存美國聯邦政府資料。

    您可以檢閱案例研究,了解 AWS 如何為國防部提供協助,包括美國國防後勤局美國空軍美國海軍,和美國特種作戰司令部,以及國防部承包商,例如 Lockheed MartinRaytheonGDIT。如需有關 AWS 如何滿足國防部高安全性要求的詳細資訊,請參閱國防雲端運算網頁。

  • 臨時 DFARS 規則建立了一個五年的逐步實施期,在此期間,僅在選定的試驗合約中才需要 CMMC 合規性,並獲得負責收購和維持事務的副部長辦公室 (OUSD(A&S)) 的核准。國防部表示,在 CMMC 2.0 規則制定程序完成之前,它不打算核准在任何合約中包含 CMMC 要求。

    一旦透過規則制定將 CMMC 2.0 編纂成法典,國防部將要求公司遵守修訂後的 CMMC 2.0 架構。
  • 否。CMMC 衡量 DIB 承包商的網路安全能力和程序 (與特定 CMMC 等級要求作比較)。 

    作為雲端服務供應商 (CSP),AWS 在 FedRAMP High 上獲得了 FedRAMP 的授權,在 SRG Impact 等級 2、4 和 5 上獲得了國防資訊系統局 (DISA) 的授權。
  • 否。國防部尚未定義其他合規計劃 (例如 FedRAMP 或 ISO 27001 資訊安全管理) 將如何映射至 CMMC 2.0 等級。

  • AWS CMMC 客戶套件提供了 CMMC 2 級/NIST SP 800-171 安全控制的明細,客戶可以透過使用 AWS GovCloud (美國) 中的 AWS Landing Zone Accelerator (AWS 登陸區域加速器) 從 AWS 繼承這些安全控制。

    該 AWS CMMC 客戶套件可同時在 AWS 標準和 AWS GovCloud (美國) 區域的 AWS Artifact 中供客戶下載。 

  • 是。AWS Professional Services 顧問接受了 AWS GovCloud (美國) AWS Landing Zone Accelerator (AWS 登陸區域加速器) 方面的培訓,並且能夠為客戶實作提供支援,應對 CMMC 合規性挑戰。 

  • AWS 擬根據客戶的業務和國防部計劃與合約的要求,在標準和受限區域 (美國東部/西部、AWS GovCloud (美國) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 2.0 解決方案。

如果您有 CMMC 或國防部合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。

CMMC 資源

有關支援我們客戶的 DFARS、NIST SP 800-171 或 CMMC 要求的 AWS 解決方案和服務的詳細資訊,請透過 cmmconaws@amazon.com 聯絡我們 

Landing Zone Accelerator on AWS
DFARS with AWS
CMMC 上的 AWS 公共部門部落格
AWS GovCloud (美國)
FedRAMP 合規
有問題? 聯繫 AWS 業務代表
聯絡我們
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »