Naviguer sur la voie de la conformité CMMC peut être difficile, en particulier pour comprendre les différents types de documentation requis.

Une documentation appropriée est non seulement essentielle pour obtenir la certification CMMC, mais aussi pour maintenir une posture de cybersécurité solide au sein de votre organisation.

Nous vous fournirons ci-dessous un aperçu des principaux documents CMMC pour vous aider à rationaliser vos efforts de conformité CMMC et vous assurer que vous êtes bien préparé pour le processus d'évaluation.

Plan de sécurité du système (SSP) CMMC

Le SSP décrit les pratiques et processus de cybersécurité mis en place pour protéger vos actifs d'information et votre infrastructure informatique, et répondre aux exigences du cadre CMMC. Il fournit un aperçu complet du système d'information de votre organisation, y compris

une description et des frontières du système
les processus d'évaluation des risques
des contrôles de sécurité spécifiques
des politiques et procédures
la réponse aux incidents et la surveillance continue
un aperçu des rôles et responsabilités organisationnels

Le SSP est essentiel pour tous les niveaux de certification CMMC. Les évaluateurs examineront votre SSP pour comprendre comment votre organisation répond aux exigences CMMC et gère et protège ses données sensibles. Un SSP bien documenté peut considérablement simplifier le processus d'évaluation et démontrer l'engagement de votre organisation en matière de cybersécurité.

Plan d'action et de jalons (POA&M) CMMC

Le POA&M, également connu sous le nom de document de plan d'action correctif (CAM), est un document stratégique utilisé pour identifier et suivre les actions nécessaires pour combler les lacunes dans les contrôles de votre organisation qui ont été identifiées lors d'une évaluation interne ou par un tiers.

En décrivant les lacunes identifiées ainsi que les risques associés, les actions correctives prévues, les délais, les jalons et les parties responsables, un POA&M fournit une approche structurée pour combler les lacunes, prioriser les actions et suivre les progrès vers l'obtention ou le maintien de la conformité.

Le POA&M doit être un document vivant qui est mis à jour en continu, au moins mensuellement, à mesure que des progrès sont réalisés. En tant que tel, il est crucial pour démontrer des efforts continus pour atteindre et maintenir la conformité CMMC aux évaluateurs tiers, en particulier pour les niveaux de certification CMMC supérieurs où l'amélioration continue est mise en avant.

Lecture recommandée

Modèles de documentation CMMC

Autres exemples de documentation de conformité CMMC

Les politiques, processus et procédures, les documents de formation, les plans et les documents de planification, ainsi que les diagrammes de niveau système, de réseau et de flux de données peuvent tous être utilisés comme preuve de conformité aux exigences CMMC applicables.

Voici quelques documents clés qui peuvent être examinés comme preuve lors d'une évaluation CMMC.

Politique et procédures de contrôle d'accès
Politique et procédures d'audit et de responsabilité
Politique et procédures de gestion de la configuration
Stratégie de surveillance continue
Politique et procédures d'identification et d'authentification
Politique, plan et procédures de réponse aux incidents
Politique de mot de passe
Politique et procédures de sécurité du personnel
Politique et procédures de protection physique et environnementale
Politique et procédures d'évaluation des risques
Politique et procédures d'évaluation et d'autorisation de la sécurité
Politique de planification de la sécurité
Politique et procédures de protection des systèmes et des communications
Politique et procédures d'intégrité des systèmes et des informations
Journaux et enregistrements d'audit du système
Politique et procédures de maintenance du système
Politique et procédures de protection des médias du système
Enregistrements de surveillance du système

Veuillez noter que cette liste n'est ni exhaustive ni prescriptive, bien qu'elle couvre une gamme de pratiques requises pour la conformité CMMC. Pour bon nombre de ces pratiques, un évaluateur peut examiner le SSP plutôt que des documents séparés. Ou, au lieu de documents, l'évaluateur peut examiner des mécanismes ou des activités, tels que la visualisation de matériel ou l'observation du personnel suivant un processus, afin d'évaluer si une pratique CMMC a été respectée.

Préparation de la documentation pour votre auditeur

Que vous commenciez à peine votre parcours CMMC ou que vous soyez en cours de certification, investir du temps et des efforts dans ces documents clés vous aidera à atteindre le niveau de sécurité et de conformité nécessaire pour réussir dans le secteur de la défense.

Organiser cette documentation vous fera non seulement gagner du temps et vous aidera à terminer votre audit à temps — cela permettra également à votre auditeur de consulter la documentation avant de commencer à tester vos contrôles.

Secureframe peut aider à rationaliser le processus de gestion des documents. Secureframe collecte automatiquement les preuves dont vous avez besoin, les mappe aux contrôles et exigences du cadre applicables, et les stocke dans une salle de données sécurisée pour un partage facile et sécurisé avec les auditeurs externes. Vous recevrez des rappels pour mettre à jour les preuves selon les besoins annuels pour les audits et pourrez rechercher le document exact dont vous avez besoin, ou exporter des vues filtrées comme preuves.

Lecture recommandée

Un guide de la collecte de preuves automatisée pour la conformité

FAQ

Quel est le but d'un SSP ?

Le SSP sert de document fondamental qui décrit comment le système d'information d'une organisation est sécurisé et comment il répond aux exigences du cadre CMMC. Le SSP doit passer en revue chaque contrôle NIST 800-171 et détailler comment tous les contrôles applicables sont mis en œuvre ou prévus pour être mis en œuvre.

Qu'est-ce qu'un POA&M CMMC ?

Un POA&M CMMC, ou Plan d'action et jalons, est un document qui décrit comment une organisation va aborder et remédier aux déficiences en matière de cybersécurité identifiées lors d'une évaluation CMMC. Il comprend des actions spécifiques, des calendriers et des jalons pour corriger ces lacunes, servant de feuille de route pour atteindre une conformité totale avec les exigences CMMC. Le POA&M est crucial pour gérer et prioriser systématiquement les efforts de remédiation, en particulier pour les organisations visant des niveaux de certification CMMC plus élevés où des pratiques de sécurité plus rigoureuses sont requises.

Quels documents sont nécessaires pour la conformité CMMC ?

Pour la certification CMMC, les organisations doivent fournir plusieurs documents clés qui démontrent leurs pratiques et processus de cybersécurité conformes aux exigences CMMC. La documentation essentielle comprend un SSP, un POA&M, ainsi que des politiques et procédures liées au contrôle d'accès, à la réponse aux incidents, à l'évaluation des risques et à d'autres domaines clés. Ces documents sont cruciaux pour les évaluations internes et externes menées par les évaluateurs pendant le processus de certification.

Quels documents CMMC sont nécessaires pour la conformité ?

Plan de sécurité du système (SSP) CMMC

Plan d'action et de jalons (POA&M) CMMC

Lecture recommandée

Autres exemples de documentation de conformité CMMC

Préparation de la documentation pour votre auditeur

Lecture recommandée

FAQ

Aperçu du CMMC

Qu'est-ce que la certification du modèle de maturité en cybersécurité ?

La Règle Finale Proposée du CMMC : Ce Que C'est et Quand Elle Entre en Vigueur

Qui a besoin de la certification CMMC ?

Pourquoi le CMMC est-il important ? Avantages de la certification CMMC

Contrôles CMMC 2.0 et comment les mettre en œuvre dans votre organisation

Comparer le CMMC à d'autres cadres fédéraux

CMMC vs NIST 800-171 : Le CMMC 2.0 remplace-t-il le NIST ?

CMMC 2.0 vs. FedRAMP : Principales différences et comment décider

Comparer CMMC 2.0 et NIST 800-53 : Quel est le bon choix pour votre organisation ?

Naviguer dans la conformité fédérale : Avez-vous besoin de CMMC, FedRAMP ou de l'un des cadres NIST ?

Exigences CMMC

Quelles sont les exigences CMMC?

Comment déterminer votre niveau de certification CMMC

Quel type d'évaluation CMMC vous faut-il ?

Comment utiliser les services cloud gouvernementaux pour accélérer la conformité CMMC

Quels documents CMMC sont nécessaires pour la conformité ?

Processus de certification CMMC

Comment obtenir la certification CMMC : Naviguer dans la conformité du début à la fin

Combien coûte la certification CMMC 2.0 ?

Combien de temps faut-il pour obtenir la certification CMMC 2.0 ?

Organismes d'évaluation tiers certifiés (C3PAO) : comprendre leur rôle et comment en choisir un pour votre certification CMMC

Automatisation de la conformité CMMC

Manuel vs. Automatisé : Rationalisez la Conformité CMMC

Les économies de coûts et de temps de l'automatisation de la conformité CMMC

Pourquoi l'automatisation de la conformité CMMC dévoile de meilleures perspectives de sécurité

Maintenir la conformité CMMC

Outils et Ressources CMMC

Listes de contrôle de conformité CMMC

Modèles de documentation CMMC

Formation CMMC

Produit

Gestion des risques

Évaluations de sécurité des fournisseurs

Cadres Prise en Charge

Solutions

Principaux Cadres

Types de partenaires

Programme de partenariat

Ressources en sécurité et conformité

Ressources sur les cadres

Ressources clients

Entreprise

Quels documents CMMC sont nécessaires pour la conformité ?

Plan de sécurité du système (SSP) CMMC

Plan d'action et de jalons (POA&M) CMMC

Lecture recommandée

Autres exemples de documentation de conformité CMMC

Préparation de la documentation pour votre auditeur

Lecture recommandée

FAQ

Aperçu du CMMC

Qu'est-ce que la certification du modèle de maturité en cybersécurité ?

La Règle Finale Proposée du CMMC : Ce Que C'est et Quand Elle Entre en Vigueur

Qui a besoin de la certification CMMC ?

Pourquoi le CMMC est-il important ? Avantages de la certification CMMC

Contrôles CMMC 2.0 et comment les mettre en œuvre dans votre organisation

Comparer le CMMC à d'autres cadres fédéraux

CMMC vs NIST 800-171 : Le CMMC 2.0 remplace-t-il le NIST ?

CMMC 2.0 vs. FedRAMP : Principales différences et comment décider

Comparer CMMC 2.0 et NIST 800-53 : Quel est le bon choix pour votre organisation ?

Naviguer dans la conformité fédérale : Avez-vous besoin de CMMC, FedRAMP ou de l'un des cadres NIST ?

Exigences CMMC

Quelles sont les exigences CMMC?

Comment déterminer votre niveau de certification CMMC

Quel type d'évaluation CMMC vous faut-il ?

Comment utiliser les services cloud gouvernementaux pour accélérer la conformité CMMC

Quels documents CMMC sont nécessaires pour la conformité ?

Processus de certification CMMC

Comment obtenir la certification CMMC : Naviguer dans la conformité du début à la fin

Combien coûte la certification CMMC 2.0 ?

Combien de temps faut-il pour obtenir la certification CMMC 2.0 ?

Organismes d'évaluation tiers certifiés (C3PAO) : comprendre leur rôle et comment en choisir un pour votre certification CMMC

Automatisation de la conformité CMMC

Manuel vs. Automatisé : Rationalisez la Conformité CMMC

Les économies de coûts et de temps de l'automatisation de la conformité CMMC

Pourquoi l'automatisation de la conformité CMMC dévoile de meilleures perspectives de sécurité

Maintenir la conformité CMMC

Outils et Ressources CMMC

Listes de contrôle de conformité CMMC

Modèles de documentation CMMC

Formation CMMC