详细内容或原文请订阅后点击阅览
NDIA 政策要点:为开始 CMMC 之旅的人员提供的资源
CMMC 代表网络安全成熟度模型认证,一段时间以来一直是一个流行的缩写词。大多数人都知道它在某种程度上涉及网络安全和保护网络,但有些人不清楚这到底意味着什么。
来源:美国国防杂志新闻NDIA 政策要点:为开始 CMMC 之旅的人员提供的资源
2026 年 6 月 24 日作者:
迈克尔种子
iStock 插图
CMMC 代表网络安全成熟度模型认证,一段时间以来一直是一个流行的缩写词。大多数人都知道它在某种程度上涉及网络安全和保护网络,但有些人不清楚这到底意味着什么。
CMMC 计划首次推出已经七年了,一些人仍然不确定何时采取行动。最好的时机就是现在。
自 2017 年以来,国防承包商必须根据美国国家标准与技术研究所特别出版物 800-171“保护非联邦系统和组织中的受控非机密信息”中定义的要求来保护受控非机密信息 (CUI)。
随后,在 2019 年,国防部寻求通过 CMMC 计划要求验证是否完全符合网络安全标准,从仅自我证明的模式转变为要求公司聘请第三方评估员来证明在某些情况下的合规性的模式。
CMMC 具有承包商必须满足的三个级别,具体取决于其合同中的具体规定。 1 级要求承包商满足联邦采购条例 52.204-21 中概述的 15 项基本安全实践,以通过自我评估保护联邦合同信息。
2 级要求承包商通过满足 NIST SP 800-171 Rev. 2 的所有 110 项要求来保护 CUI,根据合同,可以通过自我评估或所需的第三方评估来满足这些要求。
3 级侧重于保护 CUI 免受高级持续性威胁,包括 2 级的所有要求,以及 NIST SP 800-172 的附加要求。
对于3级,企业必须首先达到2级,然后由国防工业基地网络安全评估中心进行评估。主题:网络、工业基础