Der CMMC-Bewertungsprozess variiert je nach erforderlichem Zertifizierungsgrad. Die Bewertungen der Stufe 1 und der nicht kritischen Stufe 2 sind weniger rigoros als die Bewertungen der kritischen Stufe 2. Die Bewertungen der Stufe 3 sind am rigorosesten und werden von Regierungsvertretern durchgeführt.
Hier finden Sie einen Überblick über den Bewertungsprozess für jede CMMC-Stufe.
CMMC-Bewertungen
Im Hinblick auf den Erwerb der CMMC 2.0-Zertifizierung ist es wichtig, die verschiedenen Bewertungsarten zu verstehen, um erfolgreich durch den Prozess zu navigieren. Jede Art von Bewertung entspricht dem angestrebten Zertifizierungsgrad Ihrer Organisation und variiert in der Strenge und Überwachung.
Egal ob Sie sich auf eine Selbsteinschätzung, eine Bewertung durch Dritte oder eine von der Regierung durchgeführte Bewertung vorbereiten, das Wissen darüber, was Sie erwartet, kann Ihnen helfen, sich besser vorzubereiten und sicherzustellen, dass Ihre Cybersecurity-Praktiken den erforderlichen Standards entsprechen.
In diesem Abschnitt werden wir die verschiedenen Arten von CMMC-Bewertungen, deren Inhalt und wie sie in Ihre Gesamtstrategie für die Compliance passen, untersuchen.
Selbsteinschätzung
Häufigkeit: Jährlich
Gilt für: Stufe 1 und einige Vertragsnehmer der Stufe 2, die nicht kritische, kontrollierte Informationen für die nationale Sicherheit verwalten
Was es beinhaltet: Organisationen, die eine Zertifizierung der Stufe 1 oder der nicht kritischen Stufe 2 anstreben, können Selbsteinschätzungen durchführen. Dieser Prozess erfordert eine interne Überprüfung Ihrer Cybersecurity-Praktiken, um sicherzustellen, dass sie mit den im CMMC-Rahmenwerk definierten erforderlichen Kontrollen und Prozessen übereinstimmen.
Ein Selbsteinschätzungsteam muss über das notwendige Wissen und die Expertise in Bezug auf die Anforderungen der Stufe 1 des CMMC und das Sicherheitsprofil Ihrer Organisation verfügen, um diese Bewertung durchzuführen. Sie können die vom Chief Information Officer des DoD bereitgestellten Selbsteinschätzungswerkzeuge, einschließlich der Richtlinien für das Scoping und die Selbsteinschätzung, nutzen, um ihre Bewertung zu informieren. Während ihrer Bewertung wird das Team den Systemsicherheitsplan (SSP) überprüfen, der die spezifischen Sicherheitskontrollen und Praktiken beschreibt, die von der Organisation implementiert wurden, und dokumentieren, ob jede Anforderung der Stufe 1 vollständig, teilweise oder nicht umgesetzt wurde. Kritische Anforderungen müssen sofort behoben werden, bevor fortgefahren werden kann. Alle anderen nicht vollständig umgesetzten Anforderungen müssen in einem Maßnahmen- und Meilensteinplan (POA&M) dokumentiert werden. Dieses Dokument wird die spezifischen Schritte, Verantwortlichkeiten und Zeitrahmen zur Durchführung der Korrekturmaßnahmen detailliert auflisten.
Sobald die Selbsteinschätzung abgeschlossen ist, muss eine hochrangige Führungskraft ein Bestätigungsschreiben ausstellen, um zu bescheinigen, dass die Selbsteinschätzung gründlich durchgeführt wurde und die Organisation die Anforderungen der Stufe 1 des CMMC erfüllt.
Die Organisation muss die Selbsteinschätzung und die Bestätigung im Supplier Performance Risk System (SPRS) einreichen. Dies führt zu einer Punktzahl zwischen 110 und -203 basierend auf den Ergebnissen der Bewertung, was dem DoD hilft, Risiken einzuschätzen und Verträge zu vergeben.
Wie man sich vorbereitet: Selbsteinschätzungen erfordern Genauigkeit und Transparenz. Sie müssen Ihre Praktiken dokumentieren, interne Audits durchführen und die Konformität jedes Jahr von einer hochrangigen Führungskraft des Unternehmens bestätigen lassen und Ihre SPRS-Punktzahl beim DoD einreichen.
Bewertungen durch Dritte
Häufigkeit: Alle drei Jahre
Gilt für: Stufe-2-Auftragnehmer, die kritische CUI-Informationen behandeln, die für die nationale Sicherheit relevant sind
Was dies bedeutet: Für kritische Zertifizierungen der Stufe 2 müssen sich die Organisationen alle drei Jahre einer Bewertung durch eine zertifizierte Drittorganisation (C3PAO) unterziehen. Die Organisationen müssen einen C3PAO aus der Liste der zugelassenen Bewertungsorganisationen des Cyber-AB auswählen.
Diese Bewertungen sind umfassender als Selbsteinschätzungen und beinhalten eine detaillierte Überprüfung Ihrer Praktiken und Dokumentationen zur Cybersicherheit, einschließlich eines SSP und eines POA&M sowie anderer wichtiger Dokumente wie eines Risikominderungsplans, eines Interventions- und Meldungsplans, eines Plans zur kontinuierlichen Überwachung, einer Zugriffskontrollrichtlinie, eines Konfigurationsmanagementplans, einer Trennung der Aufgaben-Matrix und vieles mehr.
Nach dieser Prüfung kann der C3PAO einen Bericht mit vorläufigen Kommentaren vorlegen, um Probleme oder Bedenken hervorzuheben, die bei der Bewertung festgestellt wurden. Wenn bestimmte Anforderungen der Stufe 2 nur teilweise oder nicht umgesetzt wurden, enthält dieser Bericht empfohlene Korrekturmaßnahmen. Der C3PAO erfasst die Bewertungsinformationen elektronisch im CMMC Enterprise Mission Assurance Support Service (eMASS), das die Bewertungsergebnisse elektronisch an das SPRS übermittelt. Der C3PAO reicht dann den endgültigen Bericht zusammen mit der SPRS-Punktzahl beim Cyber-AB zur Überprüfung und endgültigen Zertifizierungsentscheidung ein.
Wenn die Organisation als konform angesehen wird, erhält sie die CMMC-Zertifizierung für die bewertete Stufe, die drei Jahre gültig ist. Während dieser drei Jahre müssen die Organisationen weiterhin ihre Cybersicherheitspraktiken überwachen und verbessern, indem sie ihr POA&M pflegen.
Darüber hinaus muss ein hochrangiger Vertreter der Organisation nach jeder Bewertung durch Dritte und jährlich danach die fortlaufende Einhaltung der angegebenen Sicherheitsanforderungen bestätigen. Die Bestätigungen werden elektronisch im SPRS erfasst.
Wie man sich vorbereitet: Die Vorbereitung auf eine Drittbewertung erfordert gründliche interne Audits, die Sammlung der erforderlichen Nachweise und die Sicherstellung, dass Ihre Cybersicherheitspraktiken vollständig dokumentiert und konform mit den Anforderungen der Stufe 2 der CMMC 2.0 sind.
Von der Regierung geleitete Bewertung
Häufigkeit: Alle drei Jahre
Gilt für: Auftragnehmer der Stufe 3
Hinweis: Bitte beachten Sie, dass das DoD noch dabei ist, die Anforderungen für Regierungsbewertungen zu erarbeiten, und diese sollten mit der endgültigen Entscheidung veröffentlicht werden. Die nachstehenden Informationen stammen aus der vom DoD zur Kommentierung vorgelegten vorgeschlagenen Regelung vom Dezember 2023.
Das bedeutet: Organisationen, die die Zertifizierung der Stufe 3 anstreben, welche die Verwaltung der sensibelsten DoD-Informationen beinhaltet, werden von Regierungsbeamten geleiteten Bewertungen unterzogen. Diese Bewertungen sind die rigorosesten und erfordern umfassende Dokumentation und Umsetzung fortschrittlicher Cybersicherheitsmaßnahmen.
Organisationen, die diese Zertifizierungsstufe anstreben, müssen sich mit dem DIBCAC des Verteidigungsministeriums für eine vom Staat geleitete Bewertung abstimmen. Dieser Prozess beginnt in der Regel mit einem Vorgespräch, um den Umfang, den Zeitplan und den Verlauf zu besprechen.
Ähnlich wie die C3PAO werden die Regierungsprüfer Hauptdokumente überprüfen, wie etwa SSP und POA&M. Sie werden außerdem Vor-Ort-Bewertungen durchführen, einschließlich Interviews und technischer Tests, und Nachweise wie Protokolle und Konfigurationen prüfen, um die Wirksamkeit der Kontrollen zu verifizieren.
Wie ein C3PAO können die Regierungsprüfer einen vorläufigen Bericht vorlegen, um Mängel zu beheben, bevor der endgültige Bericht beim Cyber-AB zur Zertifizierung eingereicht wird, die drei Jahre gültig ist. Um die Konformität aufrechtzuerhalten, müssen Organisationen kontinuierlich ihre Systeme überwachen, ihren POA&M aktualisieren und ihre Richtlinien aktuell halten.
Der Prüfer des DoD wird die Bewertungsinformationen elektronisch in das eMASS eingeben, das die Bewertungsergebnisse elektronisch in das SPRS übermittelt. Ein leitender Beamter der Organisation muss die kontinuierliche Konformität mit den angegebenen Sicherheitsanforderungen nach jeder DoD-Bewertung und jährlich danach bestätigen. Die Bestätigungen werden elektronisch in das SPRS eingegeben.
Wie vorzubereiten: Die Vorbereitung auf eine vom Staat geleitete Bewertung ist intensiv. Ihre Organisation muss eine starke Cybersicherheitslage nachweisen, unterstützt durch vollständige Dokumentation, fortschrittliche Bedrohungserkennungs- und Reaktionsfähigkeiten und eine Erfolgsbilanz bei der Einhaltung strenger Sicherheitsstandards.
FAQs
Was ist eine CMMC-Bewertung?
Eine CMMC-Bewertung ist eine formale Bewertung der Cybersicherheitspraktiken einer Organisation, um festzustellen, ob sie die Anforderungen ihrer festgelegten CMMC-Stufe erfüllen.
Welche Art von CMMC-Bewertung benötige ich?
Die Art der CMMC-Bewertung, die Sie benötigen, hängt von der erforderlichen Zertifizierungsstufe ab:
- CMMC-Stufe 1: Erfordert eine jährliche Selbsteinschätzung durch die Organisation. Dies betrifft Unternehmen, die Informationen zu Bundesverträgen (FCI) verwalten.
- CMMC-Stufe 2: Für Organisationen, die nicht klassifizierte kontrollierte Informationen (CUI) verarbeiten, ist eine Bewertung durch eine Drittpartei (C3PAO) erforderlich, es sei denn, der Vertrag ermöglicht unter bestimmten Bedingungen eine Selbsteinschätzung.
- CMMC Niveau 3 (in der abschließenden Phase): Erfordert Bewertungen, die von der Regierung für hochkarätige Verträge mit strengeren Sicherheitsanforderungen durchgeführt werden.
Sie sollten die Art der Bewertung überprüfen, indem Sie Ihren DoD-Vertrag konsultieren oder sich an einen Vertragsagenten wenden.
Können sich Auftragnehmer auf CMMC-Stufe 2 selbst bewerten?
Auf der CMMC-Stufe 2 können sich Auftragnehmer in bestimmten Fällen selbst bewerten. Gemäß Version 2.0 des CMMC ist die Möglichkeit der Selbstbewertung für nicht priorisierte Akquisitionen verfügbar, was bedeutet, dass Organisationen, die mit CUI an risikoarmen Verträgen arbeiten, jährliche Selbstbewertungen durchführen können. Für priorisierte Akquisitionen oder Verträge, die vom DoD als risikoreich eingestuft werden, ist jedoch eine Bewertung durch Dritte (C3PAO) erforderlich. Der DoD-Vertrag oder die Behörde gibt an, ob eine Selbstbewertung oder eine Bewertung durch Dritte zutreffend ist.
