为美国国防部承包商实现网络安全成熟度模型认证(CMMC)

C3PAO审计员和国防部承包商如何利用Prevalent评估并证明在17个能力领域中的CMMC合规性。

Mitratech 员工
Mitratech 员工 四月28,2020 6 分钟阅读
Decorative image

2020年1月31日,美国国防部(DoD)采购与后勤保障副部长办公室发布了网络安全成熟度模型认证(CMMC)v1.0版本。 该认证旨在成为国防部所有采购项目的统一网络安全标准,要求30多万家国防承包商自2020年10月起逐步获得CMMC认证,实施周期为五年,此后每三年进行一次续期。

CMMC要求企业通过第三方认证,以验证其是否遵循网络安全和信息处理最佳实践,该认证最终将决定企业能否获得国防部的合同。该认证旨在帮助中小企业更轻松、更经济地展示其网络安全防护能力,确保整个国防供应链的安全与韧性。

本博客探讨了国防承包商可获得的CMMC认证等级、认证内容的制定方式、认证流程、承包商如何具体达成一级认证,以及认证审计师如何利用Prevalent第三方风险管理平台来促进评估流程。

CMMC认证等级

CMMC认证共分五个等级,从1级(最低,基础网络卫生)到5级(最高,高级/渐进),每个等级的要求和成本逐级递增。具体等级说明请参见下图。

  • 一级认证将适用于绝大多数国防部承包商(约28.5万人),要求企业针对17项无成本控制措施进行报告,这些措施基于良好的商业实践和标准网络安全卫生规范。
  • 第二级是 组织向第三级迈进的过渡阶段,具备达到第三级所需资源的组织可在此阶段发展。
  • 三级认证适用于获准接触受控非机密信息(CUI)的机构,法律要求这些企业必须证明其符合NIST 171标准中全部110项控制措施。该认证将适用于约15,000家国防部承包商。
  • 第4级和 第5级分别适用于约0.06%的国防部供应商。除非企业接触受控未分类信息(CUI),否则只需维持CMMC一级认证即可。
CMMC各级实践要求

来源: CMMC公开简报会,2020年1月31日

CMMC认证内容的开发过程

CMMC认证要求的框架包含以下内容:•联邦采购条例(FAR)条款52.204-21中关于联邦合同信息(FCI)的基本保护要求•国家标准与技术研究院(NIST)特别出版物(SP) 800-171中关于受控非机密信息(CUI)的安全要求(依据国防联邦采购条例补充条款(DFARS)第2522.211-11条(NIST)特别出版物(SP)800-171《受控非机密信息安全要求》(
) (依据国防联邦采购条例补充条款(DFARS) 第252.204.7012条

CMMC认证流程

所有国防部承包商均需通过审计获得CMMC认证,以验证其具备与国防部开展业务所需的相应网络安全水平。CMMC依据上图所示的17个能力领域进行评估。各级别累计认证要求示意图见下图。

CMMC模型结构

来源: https://www.acq.osd.mil/cmmc/docs/CMMC_ModelMain_V1.02_20200318.pdf


所有国防部供应商均需访问www.cmmcab.org,以查询哪些网络安全第三方审计机构(C3PAO)已获得审计资质认证。(注:当前审计流程仍需现场环节,因此疫情可能影响审计机构认证时间表。)供应商审计完成后,审计员将向CMMC认证机构提交审计信息报告,认证机构随后向企业颁发认证证书。

审计师如何为所有5个级别执行CMMC评估

CMMC认证审计员可使用Prevalent第三方风险管理平台,该平台包含CMMC所有五个级别的控制措施问卷。通过此访问权限,认证审计员能够:

  • 邀请客户加入Prevalent平台,在操作简便且安全的租户环境中完成标准化控制评估。
  • 自动向客户发送催缴提醒,以减少完成评估所需的时间。
  • 集中管理作为控制措施存在证据提交的辅助文件
  • 根据客户反馈编制一份风险登记册
  • 针对失效控制措施提出问题整改建议

CMMC一级认证详解

审计人员和国防部供应商应参照国防部采购与后勤事务副部长规定的各认证等级控制措施证明要求。本博客章节仅针对涉及绝大多数国防承包商的1级认证进行说明,不应视为具体合规指导。以下为17项CMMC 1级实践的领域分类摘要。

17 个领域的一级实践

访问控制(AC)

  • AC.1.001 将信息系统的访问权限限制在授权用户、代表授权用户行事的进程或设备(包括其他信息系统)范围内。
  • AC.1.002 将信息系统的访问权限限制在授权用户可执行的交易类型和功能范围内。
  • AC.1.003 验证并控制/限制与外部信息系统的连接及使用。
  • AC.1.004在公众可访问的信息系统上发布或处理的控制信息。

身份识别与认证(IA)

  • IA.1.076 识别信息系统用户、代表用户执行的流程或设备。
  • IA.1.077作为允许访问组织信息系统的先决条件,对用户、进程或设备的身份进行认证(或验证)。

媒体保护(MP)

  • MP.1.118在处置或释放用于再利用之前,对包含联邦合同信息的信息系统介质进行消毒或销毁。

物理保护(PE)

  • PE.1.131 限制对组织信息系统、设备及其相应运行环境的物理访问权限,仅限于授权人员。
  • PE.1.132 陪同访客并监督访客活动。
  • PE.1.133 维护物理访问的审计日志。
  • PE.1.134控制和管理物理访问设备。

系统与通信保护(SC)

  • SC.1.175在信息系统的外部边界和关键内部边界上,监控、控制和保护组织通信(即组织信息系统传输或接收的信息)。
  • SC.1.176为公开可访问的系统组件实施子网,这些组件在物理上或逻辑上与内部网络隔离。

系统与信息完整性(SI)

  • SI.1.210及时识别、报告并纠正信息及信息系统的缺陷。
  • SI.1.211在组织信息系统内的适当位置提供针对恶意代码的防护。
  • SI.1.212当有新版本发布时,更新恶意代码防护机制。
  • SI.1.213对信息系统进行定期扫描,并对来自外部源的文件在下载、打开或执行时进行实时扫描。

国防承包商如何执行CMMC一级自我评估

任何国防部承包商均可使用Prevalent第三方风险管理平台,在正式审计前进行一级预评估。通过此访问权限,国防部承包商可:

  • 根据衡量一级合规性所需的17项控制措施进行评估
  • 上传文件和证据以支持对问题的回答
  • 了解当前合规状态
  • 利用内置的整改指导,在正式审计前解决不足之处
  • 为审计师生成合规报告

如需了解Prevalent如何助力保障国防部供应链安全,请访问我们的CMMC合规页面,下载合规白皮书,或立即申请Prevalent平台演示

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。