CMMC风头盖过ISO 27001、SOC 2和HTIRUST等老牌安全认证
美国国防部即于 2020 年1月份发布的 CMMC(安全成熟度模型认证)被不少业界人士看好,有望成为风头盖过 ISO27001、SOC2 等老牌安全认证的热门认证。CMMC 最初的合规对象是美国 20 万家国防工业企业,包括波音、雷神这样的行业巨头,并覆盖整个供应链上的大大小小的 IT 供应商和子承包商。简单来说,CMMC 就是美国国防部用来对 NIST800-171 和规范围内企业进行第三方独立审计的一套方法。
CMMC 采取以数据为中心的安全评估方法,重点放在CUI在系统、应用程序或服务的整个生命周期中的存储,传输和处理。这超越了ISO 27001,SOC 2或 HITRUST面向流程的评估方法,这些方法评估的是现有的内部风险管控机制,而 CMMC的成熟度标准覆盖了敏感数据生命周期、技术基础架构乃至整个供应链的人员、流程和技术。
据外媒报道,于2020年1月31日,美国国防部发布了新的网络安全标准——《网络安全成熟度模型认证1.0版》(简称CMMC 1.0)。美国防部表示,到2026年,国防承包商在回应政府采购计划的提案请求时,必须满足基本的网络安全标准。美国防部希望通过新版CMMC框架的推出,以增强国防工业基础(DIB)分包商的网络安全准备程度的方式,加强对供应链非机密信息(联邦合同信息(FCI)和受控未分类信息(CUI)的保护。
CMMC等级划分
第一级:基础的网络卫生
相当于联邦收购法规48 CFR 52.204-21中的所有实践。
一级要求最低。据国防部负责采办的助理部长办公室网络事务特别助理凯蒂·阿灵顿介绍,CMMC框架大约确定了17个网络安全特定“领域”,一级合规性仅要求在各个领域制定一项基本的“控制”措施
第二级:中级网络卫生,72种实践
与联邦收购法相符
包括从NIST SP 800-171 r 1中选择的48个实践所组成的例集。
外加7个支持网络卫生的额外实践
二级被认为是过渡阶段。五角大楼可通过建立新的流程、规划和预算帮助各企业为更高的认证级别做好准备,其主要目标仍是“帮助小企业”。
第三级:良好的网络卫生,130种实践
与联邦收购法相符
包括NIST SP 800-171 r 1中的所有实践案例。
外加20支持良好网络卫生的额外实践。
三级被认为是跨度最大的一级,是处理受控非机密信息的最低要求。企业的控制措施必须从前两级要求的17项增加到110多项。这些标准出自美国国家标准技术研究院的NIST 800-171修订版文件,也是目前许多企业声称已经达到的标准。
第四级:主动型,156种实践
与联邦收购法相符
包括NIST SP 800-171 r 1中的所有实践。
外加NIST SP800-171B草案的11个额外实践。
包含额外15个实践,这些实践对一个主动出击型的网络项目进行了阐述。
第五级:高级别,171个实践
与联邦收购法相符
包括NIST SP 800-171 r 1中的所有实践。
从NIST SP800-171B草案中选择了4个额外实践案例。
还包含11个阐述高级网络安全计划的额外案例。
据悉,第四级和第五级针对承包最敏感合同的“极核心技术企业”,增加了额外的控制措施。而综上可知,这些标准将来自美国国家标准技术研究院、国际标准组织(ISO)、航空航天工业协会(AIA)等机构已经发布或正在制定的标准。
