CMMC与第三方风险管理
2021年11月,美国国防部(DoD)采购与后勤次长办公室发布了网络安全成熟度模型认证(CMMC)2.0版。该认证体系作为全面框架,旨在保护国防工业基地免受日益频繁且复杂的网络攻击,确保整个国防供应链的安全与韧性。
CMMC要求企业必须通过网络安全及受控非机密信息(CUI)处理最佳实践的认证,该认证最终将决定企业能否获得国防部的合同授予。
所有国防部供应商必须根据《联邦采购条例》第204-21条款、美国国家标准与技术研究院 (NIST)特别出版物(SP)800-171,以及NIST SP 800-172《受控非机密信息增强安全要求:NIST特别出版物800-171补充》中规定的附加管控措施。
企业与认证第三方审计机构(C3PAO)可借助Prevalent第三方风险管理平台及其内置问卷,针对CMMC认证的三个等级进行评估。
CMMC认证等级概述
- 一级——供应商根据17项控制措施进行自我评估。该认证级别被视为基础级,适用于管理非国家安全关键信息的供应商。
- 三级——被视为最高优先级国防部供应商的专家级标准,该级别在二级基础上增加了NIST SP 800-172控制措施的子集。联邦政府将对该级别的企业实施审计。
- 二级认证——由第三方审计机构依据NIST SP 800-171标准中110项控制措施实施的高级认证。该级别适用于管理受控非机密信息(CUI)的企业。
适用于CMMC审计员
CMMC认证审计师可使用Prevalent第三方风险管理平台,该平台包含CMMC三级控制问卷。
适用于CMMC响应者的常见情况
供应商和国防部承包商可使用Prevalent第三方风险管理平台进行一级和二级自我评估。
满足CMMC TPRM要求
请参阅下表,该表按级别汇总了CMMC要求,依据NIST SP 800-171r2相关安全控制措施进行分类,这些要求已作为内置问卷包含在Prevalent平台中。三级要求信息将由美国国防部在稍后日期发布,其中包含NIST SP 800-172中规定的安全要求的子集。
访问控制
第 1 级
3.1.1 授权访问控制
3.1.2 交易与功能控制
3.1.20 外部连接
3.1.22 控制公共信息
二级
3.1.3 控制CUI流
3.1.4 职责分离
3.1.5 最小权限原则
3.1.6 非特权账户使用
3.1.7 特权功能
3.1.8 登录失败记录
3.1.9 隐私与安全通知
3.1.10 会话锁定
3.1.11 会话终止
3.1.12 控制远程访问
3.1.13 远程访问可配置性
3.1.14 远程访问路由
3.1.15 特权远程访问
3.1.16 无线访问授权
3.1.17 无线访问保护
3.1.18 移动设备连接
3.1.19 移动设备上的CUI加密
3.1.21 便携存储设备使用
意识与培训
第 1 级
不适用
二级
3.2.1 基于角色的风险意识
3.2.2 基于角色的培训
3.2.3 内部威胁意识
审计与问责
第 1 级
不适用
二级
3.3.1 系统审计
3.3.2 用户责任制
3.3.3 事件审查
3.3.4 审计失败警报
3.3.5 审计关联
3.3.6 数据压缩与报告
3.3.7 权威时间源
3.3.8 审计保护
3.3.9 审计管理
配置管理
第 1 级
不适用
二级
3.4.1 系统基准化
3.4.2 安全配置强制执行
3.4.3 系统变更管理
3.4.4 安全影响分析
3.4.5 变更访问限制
3.4.6 最小功能原则
3.4.7 非必要功能
3.4.8 应用程序执行策略
3.4.9 用户安装软件
身份识别与认证
第 1 级
3.5.1 身份识别
3.5.2 身份验证
二级
3.5.3 多因素认证
3.5.4 抗重放认证
3.5.5 标识符复用
3.5.6 标识符处理
3.5.7 密码复杂度
3.5.8 密码复用
3.5.9 临时密码
3.5.10 加密保护的密码
3.5.11 模糊反馈
事件响应
第 1 级
不适用
二级
3.6.1 事件处理
3.6.2 事件报告
3.6.3 事件响应测试
维护
第 1 级
不适用
二级
3.7.1 执行维护
3.7.2 系统维护控制
3.7.3 设备消毒
3.7.4 介质检查
3.7.5 非本地维护
3.7.6 维护人员
媒体保护
第 1 级
3.8.3 介质处置
二级
3.8.1 媒体保护
3.8.2 媒体访问
3.8.4 媒体标识
3.8.5 媒体责任
3.8.6 便携存储加密
3.8.7 可移动媒体
3.8.8 共享媒体
3.8.9 保护备份
人员安全
第 1 级
不适用
二级
3.9.1 个人筛选
3.9.2 人事行动
物理防护
第 1 级
3.10.1 限制物理访问
3.10.3 陪同访客
3.10.4 物理访问日志
3.10.5 管理物理访问
二级
3.10.2 监测设施
3.10.6 替代工作地点
风险评估
第 1 级
不适用
二级
3.11.1 风险评估
3.11.2 漏洞扫描
3.11.3 漏洞修复
安全评估
第 1 级
不适用
二级
3.12.1 安全控制评估
3.12.2 行动计划
3.12.3 安全控制监控
3.12.4 系统安全计划
系统与通信保护
第 1 级
3.13.1 边界保护
3.13.5 公共访问系统分离
二级
3.13.2 安全工程
3.13.3 角色分离
3.13.4 共享资源控制
3.13.6 例外网络通信
3.13.7 分割隧道
3.13.8 传输中数据
3.13.9 连接终止
3.13.10 密钥管理
3.13.11 CUI加密
3.13.12 协作式设备控制
3.13.13 移动代码
3.13.14 互联网协议语音
3.13.15 通信真实性
3.13.16 静态数据
系统与信息完整性
第 1 级
3.14.1 漏洞修复
3.14.2 恶意代码防护
3.14.4 更新恶意代码防护
3.14.5 系统与文件扫描
二级
3.14.3 安全警报与通告
3.14.6 监控通信以检测攻击
3.14.7 识别未经授权的使用
普瑞瓦尔与CMMC
主流第三方风险管理平台为CMMC认证的每个等级提供内置问卷。这使国防部能够评估高优先级供应商;审计员能够评估其客户;供应商能够评估自身及其供应商是否符合各等级要求。
C3PAO和联邦政府可以:
- 邀请客户加入Prevalent平台,在操作简便且安全的租户环境中完成标准化二级或三级控制评估。
- 自动向客户发送催缴提醒,以减少完成评估所需的时间。
- 集中管理作为控制措施存在证据提交的辅助文件
- 根据客户对问题的回答,查看单一风险登记簿
- 针对失效控制措施提出问题整改建议
- 提供定制化报告,说明当前合规水平,并展示未来控制措施实施对降低风险的影响。
任何国防部供应商均可进行一级或二级自我评估,以:
-
- 根据衡量一级合规性所需的17项控制措施进行评估
- 根据衡量二级合规性所需的110项控制措施进行评估
- 上传文件和证据以支持对问题的回答
- 了解当前合规状态
- 利用内置的补救指导来解决第三方存在的不足
- 生成报告以衡量合规性供审计人员使用
