網路安全成熟度模型認證 (CMMC)
概觀
美國國防部 (DoD) 負責收購和維持事務的副部長辦公室 (OUSD) 正在實作 CMMC,作為一種機制來保護 DoD 智慧財產權和敏感資訊免受網路安全事件的影響,使主要承包商和分包商免受侵害。CMMC 專注於 DoD 外部供應鏈的安全性和彈性,包括國防產業基地 (DIB) 成員,引入了組織必須擁有第三方評估機構認證才能競爭大多數 DoD 合約的領域、實務和程序分級要求。AWS 可讓國防承包商建立符合 CMMC 要求的環境,來處理、維護和存放 DoD 資料。
-
什麼是 CMMC?
CMMC 是指「網路安全成熟度模型認證」。CMMC 涵蓋從「基本網路安全衛生」到「進階/漸進」的多個成熟度級別。 每個成熟度級別包括日益嚴格的程序和實務要求,以獲得認證。DoD 合約將定義要求的 CMMC 級別;級別 1 - 保護聯邦合約資訊 (FCI)、級別 2 - 過渡以保護受控非機密資訊 (CUI)、級別 3 - 保護 CUI、級別 4 和 5 - 保護 CUI 並降低進階持續威脅 (APT) 的風險。
DoD 擬將 CMMC 要求納入《國防聯邦採購條例補充 (DFARS)》中,並且將認證作為大多數 DoD 合約的要求。如需進一步了解,請造訪 https://www.acq.osd.mil/cmmc/index.html。
-
為什麼要實作 CMMC?
DoD 正在過渡至新的 CMMC 框架,以防止盜竊 DoD 敏感資訊和智慧財產權。CMMC 將評估和增強國防產業基地 (DIB) 供應鏈的網路安全,並確保設置適當的網路安全實務和程序。
-
誰需要獲得 CMMC 認證?
DoD 估計,超過 300,000 個組織將需要對 CMMC 五個級別之一進行評定和認證。這包括主要承包商、分包商,通常包括向 DoD 銷售產品或提供服務的所有組織。
-
DoD 何時實作 CMMC 要求?
DoD 從 2020 年開始將 CMMC 要求納入新合約。DoD 計劃在 2020 年制定 10 項資訊請求 (RFI) 和 10 項提案請求 (RFP),以包括 CMMC 要求。在接下來的五年中,CMMC 要求將不斷加速納入新的 DoD 合約中,到 2026 財年,幾乎所有新的 DoD 合約都將包含 CMMC 要求。
-
目前有 DoD 供應鏈成員在使用 AWS 嗎?
-
我的組織如何獲得認證?
CMMC 建立了一個獨立的非營利認證機構 (AB),對經過認證的第三方評定組織 (C3PAO) 的個人評估員進行培訓和認證。CMMC-AB 計劃推出 CMMC Marketplace,以便 DoD 承包商檢視、選擇和參與經核准的 C3PAO,來進行評定和認證。
DoD 承包商每三年接受由 C3PAO 進行的獨立安全評定,並將獲得 CMMC 特定成熟度級別的認證。CMMC-AB 將在其網站上提供必要的資訊和更新:https://www.cmmcab.org。
-
AWS CMMC 是否通過認證?
CMMC-AB 目前尚未確定和認證評估者和 C3PAO,並且尚未建立 CMMC-AB Marketplace,該平台將提供經過認證可執行評定的 C3PAO 清單。AWS 正在就要求和認證程序與 DoD 和 CMMC-AB 開展合作。
-
AWS 是否提供解決方案來協助進行 CMMC 認證?
AWS 正在與 DoD 和 CMMC-AB 共同就 CMMC 要求開展合作,以協助加速在整個國防供應鏈 (DSC) 的採用和認證。CMMC-AB 正在確定和培訓經過認證的 CMMC 評估員和 C3PAO,定義認證程序,詳細說明 FedRAMP 互惠性,以及建立 CMMC Marketplace。AWS 擬為客戶提供 CMMC 解決方案,以加速其 CMMC 認證並降低其工作強度和風險。AWS 計劃提供 CMMC 解決方案,其中包括自動部署功能、參考架構、CMMC 實務責任矩陣、潛在的 FedRAMP 授權繼承 (過去由 DoD 定義),以及支援認證文件,以便客戶在進行 CMMC 認證時使用。AWS 擬根據客戶的業務和 DoD 計劃的要求,在我們的區域 (維吉尼亞北部、AWS GovCloud (US) 等) 讓客戶能夠靈活地部署和認證 AWS CMMC 解決方案。
如果您有 CMMC 或 DoD 合規方面的問題,請聯絡您的 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 與您的客戶團隊聯絡。
