background

Welche CMMC-Dokumente sind für die Konformität erforderlich?

  • cmmcangle-right
  • Welche CMMC-Dokumente sind für die Konformität erforderlich?

Die Navigation auf dem Weg zur CMMC-Konformität kann schwierig sein, insbesondere wenn es darum geht, die verschiedenen erforderlichen Dokumentationstypen zu verstehen.

Eine angemessene Dokumentation ist nicht nur entscheidend für den Erhalt der CMMC-Zertifizierung, sondern auch für die Aufrechterhaltung einer soliden Cybersicherheitsposition innerhalb Ihrer Organisation.

Nachfolgend geben wir Ihnen einen Überblick über die wichtigsten CMMC-Dokumente, um Ihre Bemühungen um die CMMC-Konformität zu rationalisieren und sicherzustellen, dass Sie für den Bewertungsprozess gut vorbereitet sind.

CMMC-System-Sicherheitsplan (SSP)

Der SSP beschreibt die Cybersicherheitspraktiken und -prozesse, die eingerichtet wurden, um Ihre Informationsressourcen und IT-Infrastruktur zu schützen und die Anforderungen des CMMC-Rahmens zu erfüllen. Er bietet einen umfassenden Überblick über das Informationssystem Ihrer Organisation, einschließlich

  • einer Beschreibung und den Grenzen des Systems
  • der Risikobewertungsprozesse
  • spezifischer Sicherheitskontrollen
  • Richtlinien und Verfahren
  • Vorfallreaktion und kontinuierliche Überwachung
  • einem Überblick über die organisatorischen Rollen und Verantwortlichkeiten

Der SSP ist für alle Ebenen der CMMC-Zertifizierung unerlässlich. Die Bewerter werden Ihren SSP prüfen, um zu verstehen, wie Ihre Organisation die CMMC-Anforderungen erfüllt und ihre sensiblen Daten verwaltet und schützt. Ein gut dokumentierter SSP kann den Bewertungsprozess erheblich vereinfachen und das Engagement Ihrer Organisation für Cybersicherheit demonstrieren.

CMMC-Plan für Maßnahmen und Meilensteine (POA&M)

Der POA&M, auch bekannt als Corrective Action Plan (CAM)-Dokument, ist ein strategisches Dokument, das verwendet wird, um die Maßnahmen zu identifizieren und zu verfolgen, die erforderlich sind, um Lücken in den Kontrollen Ihrer Organisation zu schließen, die bei einer internen oder von Dritten durchgeführten Bewertung festgestellt wurden.

Durch die Beschreibung der identifizierten Lücken sowie der damit verbundenen Risiken, der geplanten Korrekturmaßnahmen, der Zeitrahmen, Meilensteine und verantwortlichen Parteien bietet ein POA&M einen strukturierten Ansatz, um Lücken zu schließen, Maßnahmen zu priorisieren und Fortschritte auf dem Weg zur Erreichung oder Aufrechterhaltung der Konformität zu verfolgen.

Der POA&M sollte ein lebendiges Dokument sein, das kontinuierlich, mindestens monatlich aktualisiert wird, wenn Fortschritte erzielt werden. Als solches ist es entscheidend, kontinuierliche Bemühungen zur Erreichung und Aufrechterhaltung der CMMC-Konformität gegenüber Dritten zu demonstrieren, insbesondere für die höheren CMMC-Zertifizierungsstufen, bei denen kontinuierliche Verbesserung im Vordergrund steht.

Empfohlene Lektüre

CMMC-Dokumentationsvorlagen

Read Moreangle-right

Weitere Beispiele für CMMC-konforme Dokumentation

Richtlinien, Prozesse und Verfahren, Schulungsunterlagen, Pläne und Planungsdokumente sowie Systemebenen-, Netzwerk- und Datenflussdiagramme können alle als Nachweis für die Einhaltung der geltenden CMMC-Anforderungen verwendet werden.

Hier sind einige wichtige Dokumente, die als Nachweis bei einer CMMC-Bewertung geprüft werden können.

  • Zugriffssteuerungsrichtlinie und -verfahren
  • Prüfungs- und Verantwortlichkeitsrichtlinie und -verfahren
  • Richtlinie und Verfahren für die Konfigurationsverwaltung
  • Strategie für kontinuierliche Überwachung
  • Richtlinie und Verfahren für Identifikation und Authentifizierung
  • Richtlinie, Plan und Verfahren für die Reaktion auf Vorfälle
  • Passwortrichtlinie
  • Richtlinie und Verfahren zur Sicherheit des Personals
  • Richtlinie und Verfahren zum physischen und umweltfreundlichen Schutz
  • Richtlinie und Verfahren zur Risikobewertung
  • Richtlinie und Verfahren zur Sicherheitsbewertung und -genehmigung
  • Sicherheitsplanungsrichtlinie
  • Richtlinie und Verfahren zum Schutz von Systemen und Kommunikation
  • Richtlinie und Verfahren zur System- und Informationsintegrität
  • Protokolle und Aufzeichnungen der Systemprüfung
  • Richtlinie und Verfahren zur Systemwartung
  • Richtlinie und Verfahren zum Schutz von Systemmedien
  • Systemüberwachungsprotokolle

Bitte beachten Sie, dass diese Liste weder vollständig noch verbindlich ist, obwohl sie eine Reihe von Praktiken abdeckt, die für die CMMC-Konformität erforderlich sind. Für viele dieser Praktiken kann ein Gutachter das SSP (System Security Plan) statt separater Dokumente prüfen. Oder anstelle von Dokumenten kann der Gutachter Mechanismen oder Aktivitäten, wie die Visualisierung von Hardware oder die Beobachtung von Personal, das einem Prozess folgt, begutachten, um zu bewerten, ob eine CMMC-Praktik eingehalten wurde.

Vorbereitung der Dokumentation für Ihren Auditor

Egal, ob Sie gerade erst Ihre CMMC-Reise beginnen oder sich in der Zertifizierungsphase befinden, das Investieren von Zeit und Mühe in diese wichtigen Dokumente wird Ihnen helfen, das notwendige Sicherheits- und Konformitätsniveau zu erreichen, um im Verteidigungssektor erfolgreich zu sein.

Die Organisation dieser Dokumentation spart Ihnen nicht nur Zeit und hilft Ihnen, Ihr Audit rechtzeitig abzuschließen – sie ermöglicht es auch Ihrem Auditor, die Dokumentation zu überprüfen, bevor er beginnt, Ihre Kontrollen zu testen.

Secureframe kann den Dokumentenverwaltungsprozess optimieren. Secureframe sammelt automatisch die Beweise, die Sie benötigen, ordnet sie den relevanten Rahmenkontrollen und -anforderungen zu und speichert sie in einem sicheren Datenraum, um sie einfach und sicher mit externen Auditoren zu teilen. Sie erhalten Erinnerungen, um die Beweise nach den jährlichen Anforderungen für Audits zu aktualisieren, und können das genaue benötigte Dokument suchen oder gefilterte Ansichten als Beweise exportieren.

Empfohlene Lektüre

Ein Leitfaden für die automatisierte Beweiserfassung zur Einhaltung der Vorschriften

Read Moreangle-right

FAQ

Was ist der Zweck eines SSP?

Der SSP dient als grundlegendes Dokument, das beschreibt, wie das Informationssystem einer Organisation gesichert wird und wie es die Anforderungen des CMMC-Rahmenwerks erfüllt. Der SSP muss jede NIST 800-171-Kontrolle überprüfen und detailliert darlegen, wie alle anwendbaren Kontrollen umgesetzt werden oder umgesetzt werden sollen.

Was ist ein CMMC-POA&M?

Ein CMMC-POA&M, oder Aktionsplan und Meilensteine, ist ein Dokument, das beschreibt, wie eine Organisation identifizierte Cybersicherheitslücken, die während einer CMMC-Bewertung festgestellt wurden, angehen und beheben wird. Es enthält spezifische Maßnahmen, Zeitpläne und Meilensteine zur Behebung dieser Lücken und dient als Fahrplan, um die volle Konformität mit den CMMC-Anforderungen zu erreichen. Der POA&M ist entscheidend, um die Bemühungen zur Beseitigung systematisch zu verwalten und zu priorisieren, insbesondere für Organisationen, die höhere CMMC-Zertifizierungsniveaus anstreben, bei denen strengere Sicherheitspraktiken erforderlich sind.

Welche Dokumente sind für die CMMC-Konformität erforderlich?

Für die CMMC-Zertifizierung müssen Organisationen mehrere Schlüsselunterlagen vorlegen, die ihre Cybersicherheitspraktiken und -prozesse gemäß den CMMC-Anforderungen demonstrieren. Die wichtige Dokumentation umfasst einen SSP, einen POA&M sowie Richtlinien und Verfahren in Bezug auf Zugriffskontrolle, Reaktion auf Vorfälle, Risikobewertung und andere Schlüsselbereiche. Diese Dokumente sind entscheidend für interne und externe Bewertungen, die von den Prüfern während des Zertifizierungsprozesses durchgeführt werden.

angle-rightWie man Regierungscloud-Dienste zur Beschleunigung der CMMC-Konformität nutzt

Überblick über das CMMC

Vergleich des CMMC mit anderen Bundesrahmen

CMMC Anforderungen

CMMC-Zertifizierungsprozess

Automatisierung der CMMC-Konformität

CMMC-Werkzeuge und -Ressourcen