CMMC(사이버 보안 성숙도 모델 인증)

사이버 보안 성숙도 모델 인증(CMMC)은 미국 국방부(DoD)에서 수립한 프로그램으로, 도메인마다 지정된 3단계 인증을 요구하는 각기 다른 14개의 도메인에서 외부 계약자에게 인증을 요구함으로써 연방 계약 정보(FCI) 및 통제된 미분류 정보(CUI)를 확보하고 보호합니다.

CMMC는 공급망에 있는 300,000개 이상의 회사가 포함된 DoD의 계약 네트워크에서 사이버 보안을 구현하기 위한 통합된 표준입니다. CMMC는 계약업체의 정보 시스템에 있는 민감한 방위 정보의 중대한 손상에 대한 DoD의 대응 방식입니다.

• 출시일은 2020년 1월 1일입니다.
• DoD는 2020년 11월 30일부터 CMMC 요구 사항을 일부 RFP/RFI에 통합하기 시작했습니다.
• 2025년 10월 1일까지 모든 DoD 계약 체결에는 적어도 일정 수준의 CMMC 인증이 필요합니다. DoD는 CMMC의 촉매제였지만 현재 미국 국토안보부, 기타 연방 정부 부서 및 기관을 포함하여 DIB(방어 산업 기반) 전반에서 추진력을 얻고 있습니다(특히 솔라윈즈(SolarWinds) 해킹 사건 이후).

지금까지 정보 기술 시스템 및 해당 시스템에 저장되거나 전송되는 민감한 DoD 정보의 보안을 구현, 모니터링 및 인증할 책임은 계약업체에 있었습니다.

2020년 11월 30일부터 DoD는 CMMC 요구 사항을 일부 엄선된 RFP, RFI 및 연구 계약에 통합하기 시작했습니다. 2025년 10월 1일까지 모든 DoD 계약 체결에는 적어도 일정 수준의 CMMC 인증이 필요합니다. 이 모델은 처리하는 정보 유형에 따라 3단계 성숙도(기초, 고급, 전문가)로 구성되어 있습니다. 또한 단계마다 자체 평가, 제3자 평가 또는 정부 주도 평가의 요구 사항이 다릅니다. Entrust의 디지털 보안 포트폴리오에는 신원, 인증서, 데이터 보호 솔루션이 포함되어 있으며, 이는 가능한 세 단계의 인증에서 9개의 CMMC 도메인 규정 준수를 용이하게 해 줍니다.

FCI(연방 계약 정보)와 같은 기본 정보를 처리하는 조직입니까? 아니면 CUI(제어되는 미분류 정보)를 처리합니까? FCI에는 1단계 인증이 필요하지만 CUI에는 2단계 이상이 필요합니다.

조직의 현재 사이버 보안 입장과 바람직한 CMMC 수준 사이의 격차는 어느 정도입니까? 격차 평가는 CMMC 사이버 보안 성숙도를 달성하기 위한 조치 계획과 이정표를 정의하는 데 매우 중요합니다.

CMMC는 NIST SP 800-171에 지정된 보안 요구 사항과 인증 단계에 따라 달라지는 기타 표준 및 소스의 추가 요구 사항을 포함합니다. 격차 평가를 통해 조직의 현재 사이버 보안 위생 수준에 대해 알 수 있는 것은 무엇입니까?

CMMC의 궁극적인 목표를 고려하십시오. FCI 및 CUI를 악의적인 사이버 공격자로부터 보호합니다.