Entry № 216
CMMC
CMMC 是什么?
CMMC美国国防部的认证计划,用于核实国防工业基础中的承包商是否具备充分的网络安全控制能力。
网络安全成熟度模型认证(CMMC)是美国国防部的项目,要求处理联邦合同信息(FCI)或受控非密信息(CUI)的国防工业基础(DIB)承包商在获得合同前证明其符合具体的网络安全要求。CMMC 2.0 包含三个级别:一级(基础级,17 项基于 FAR 的实践,每年自我评估);二级(进阶级,110 项 NIST SP 800-171 实践,大多数涉及 CUI 的合同需由 C3PAO 进行第三方评估);三级(专家级,在二级基础上增加 NIST SP 800-172 控制,由 DIBCAC 评估)。CMMC 通过 DFARS 252.204-7021 条款实施,并在国防部合同中分阶段推广。
● 示例
- 01
国防分包商在投标涉及 CUI 的合同前,接受 C3PAO 评估以达到 CMMC 二级。
- 02
小型零部件供应商完成 CMMC 一级自我评估,以承接仅涉及 FCI 的合同。
● 常见问题
CMMC 是什么?
美国国防部的认证计划,用于核实国防工业基础中的承包商是否具备充分的网络安全控制能力。 它属于网络安全的 合规与框架 分类。
CMMC 是什么意思?
美国国防部的认证计划,用于核实国防工业基础中的承包商是否具备充分的网络安全控制能力。
如何防御 CMMC?
针对 CMMC 的防御通常结合技术控制与运营实践,详见上方完整定义。
CMMC 还有哪些其他名称?
常见的别称包括: 网络安全成熟度模型认证。