Cybersecurity Maturity Model Certification (CMMC)
CMMC ist ein vom Verteidigungsministerium der Vereinigten Staaten (DoD) eingeführtes Rahmenwerk. Es handelt sich um einen einheitlichen Standard zur Implementierung von Cybersicherheit in der Defense Industrial Base (DIB), die aus über 300.000 Unternehmen in der Lieferkette des DoD besteht.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Der Zweck von CMMC besteht darin, den Schutz von Kontrollierten Nicht klassifizierten Informationen (CUI) zu verbessern, die in der Lieferkette der Verteidigungsindustrie vorhanden sind. CMMC dient dazu, die Cybersicherheitslage der Verteidigungsauftragnehmer zu bewerten und zu verbessern, wobei der Schwerpunkt auf dem Schutz sensibler Verteidigungsinformationen liegt, die in den Informationssystemen der Auftragnehmer gespeichert sind.
Gremien
CMMC wurde vom US-Verteidigungsministerium in Zusammenarbeit mit der Industrie und der Wissenschaft entwickelt.
Zuletzt aktualisiert
CMMC 2.0 wurde im November 2021 angekündigt. Die schrittweise Umsetzung von CMMC 2.0 begann im Jahr 2023 und soll bis Oktober 2025 abgeschlossen sein.
Gilt für
CMMC gilt für alle Lieferanten auf allen Ebenen innerhalb der Defense Industrial Base, einschließlich kleiner Unternehmen, Auftragnehmer für kommerzielle Artikel und ausländischer Lieferanten. Jedes Unternehmen, das direkt oder als Unterauftragnehmer mit dem DoD Geschäfte macht, muss die entsprechenden CMMC-Zertifizierungsstufen einhalten.
Kontrollen und Anforderungen
CMMC 2.0 ist gegenüber seinem Vorgänger gestrafft und konzentriert sich auf drei Ebenen der Cybersicherheitsreife:
- Stufe 1 (Grundlegend): Besteht aus grundlegenden Cyber-Hygiene-Praktiken, die den grundlegenden Sicherheitsanforderungen für Bundesvertragsinformationen (FCI) entsprechen.
- Stufe 2 (Fortgeschritten): Umfasst eine Reihe von Praktiken, die dem NIST SP 800-171-Standard entsprechen und CUI schützen.
- Stufe 3 (Experte)): Beinhaltet fortgeschrittene/progressive Praktiken zum Schutz von CUI und zur Reduzierung des Risikos fortgeschrittener persistenter Bedrohungen (APTs).
Jede Stufe hat eine Reihe von Praktiken und Prozessen, wobei höhere Stufen alle Anforderungen der niedrigeren umfassen.
Bitte besuchen Sie die offizielle CMMC 2.0 Website, um Einzelheiten zu den Kontrollen und Anforderungen zu erfahren.
Audittype, Häufigkeit und Dauer
CMMC-Bewertungen werden von CMMC Third-Party Assessment Organizations (C3PAOs) und einzelnen Prüfern durchgeführt, die vom CMMC Accreditation Body (CMMC-AB) akkreditiert sind. Die Zertifizierung ist drei Jahre gültig, danach ist eine erneute Bewertung erforderlich.
Die Dauer der Bewertung hängt von der Größe und Komplexität des Netzwerks und der Informationssysteme der Organisation sowie von der CMMC-Stufe ab, für die sie bewertet werden.