标准简介
网络安全成熟度模型认证(CMMC)2.0 是美国国防部(DoD)制定的网络安全评估框架,于 2024 年 12 月最终确定规则。该框架要求国防工业基地(DIB)的承包商和分包商达到特定的网络安全成熟度水平,以保护联邦合同信息(FCI)和受控非密信息(CUI)。CMMC 2.0 简化为三个级别:第一级(基础级,17 项实践的自我评估)、第二级(高级,110 项与 NIST SP 800-171 对齐的实践)和第三级(专家级,基于 NIST SP 800-172 的额外要求)。
CMMC 2.0 规则将分阶段在国防部合同中实施,预计从 2025 年中期开始。第二级认证需要由 CMMC 第三方评估组织(C3PAOs)进行独立评估,而第三级则需要由国防部进行评估。不满足合同要求的 CMMC 级别可能导致失去竞标资格或现有合同被终止。该框架影响约 22 万家国防承包商,涵盖从大型国防承包商到小型零部件供应商。实施 CMMC 的关键挑战包括定义 CUI 的边界、满足所有安全控制要求、建立计划行动和里程碑(POA&M)以及维持持续合规。
三个成熟度等级
从五级简化为三级:1 级(基础级,17 项实践)、2 级(高级,110 项实践,与 NIST SP 800-171 对齐)以及 3 级(专家级,NIST SP 800-172 控制)。
第三方评估
2 级要求由认证第三方评估机构(C3PAO)评估,而 1 级允许每年自我评估。3 级要求政府主导的评估。
CUI 保护
专门用于保护国防工业基地供应链中的受控非机密信息(CUI)和联邦合同信息(FCI)。
list_alt CMMC 域
- 访问控制——限制授权用户的系统访问
- 识别与认证——验证用户身份
- 介质保护——保护数字和物理介质上的 CUI
- 物理保护——限制对系统的物理访问
- 系统与通信保护——监控和保护通信
- 系统与信息完整性——识别和管理缺陷
- 事件响应——建立操作性事件处理
- 风险评估——识别和评估对 CUI 的风险
谁需要合规?
作为国防部合同的一部分,处理、存储或传输联邦合同信息(FCI)或受控非机密信息(CUI)的美国国防工业基地(DIB)中所有承包商和分包商。
关键要求
自我评估(1 级)
对照 FAR 52.204-21 中的 17 项基本保障要求完成年度自我评估。通过供应商绩效风险系统(SPRS)确认合规。
NIST SP 800-171 合规(2 级)
实施 NIST SP 800-171 Rev 2 中的全部 110 项安全要求。接受 C3PAO 评估并取得合格分数。维护系统安全计划(SSP)和行动计划与里程碑(POA&M)。
行动计划与里程碑
以具体的补救计划、责任方和目标完成日期记录任何未满足的要求。POA&M 必须在评估后 180 天内解决。
持续合规确认
高级官员必须每年在 SPRS 中确认其组织的持续合规状态。认证有效期为三年,需每年确认。
实施路线图
准备范围、数据类型和等级
识别处理 FCI 或 CUI 的合同、条款、系统、供应商和隔离环境。确定所需 CMMC 等级,定义评估边界,指定高级责任人,并建立 SPRS 评分和声明的管理方式。
按所需实践做差距分析
针对 FCI 评估 Level 1 实践,或针对 CUI 环境评估 NIST SP 800-171 的 110 项要求。建立或更新系统安全计划,计算 SPRS 分数,识别未满足要求,并判断哪些差距可进入 POA&M。
实施保护措施并准备评估
整改访问控制、MFA、日志、漏洞管理、介质保护、事件响应和配置管理等重点差距。收集客观证据,培训控制负责人,按要求关闭 POA&M 项,并安排自评或 C3PAO 评估。
审计、声明并维护资格
在 SPRS 中提交评估结果和必要声明,在评估周期之间维护证据,并监控接收 CUI 的供应商。重大架构、合同或边界变化后重新评估,并按计划推进 POA&M 整改。
合规检查清单
checklist 范围与评估准备
checklist 控制与证据
checklist 报告与维护
CMMC 等级概览
等级取决于承包商处理的 DoD 信息类型和敏感性。
| 方面 | Level 1 | Level 2 | Level 3 |
|---|---|---|---|
| 信息类型 | FCI | CUI | 高优先级 CUI |
| 控制基础 | FAR 52.204-21 基础保护 | NIST SP 800-171 要求 | 选定的 NIST SP 800-172 增强要求 |
| 评估模式 | 年度自评 | 按合同要求自评或 C3PAO 认证 | 政府主导评估 |
| 典型证据 | 政策、截图和实践证据 | SSP、客观证据、SPRS 分数和评估结果 | Level 2 认证加增强保护证据 |
常见误区
CMMC 只是 IT 部门项目。
CMMC 涉及合同、法律陈述、供应商流转、工程、设施、HR 和高层声明,不只是技术控制。
POA&M 可以覆盖任何缺失要求。
只有合格项目可以放入 POA&M,高价值保护措施必须在认证或条件状态前实施。
分包商会自动被主承包商认证覆盖。
接收 FCI 或 CUI 的分包商必须在自己的环境和合同流转范围内满足适用要求。
处罚与执行
未达到所需 CMMC 等级的承包商无资格获得国防部合同授予。虚假合规声明使承包商面临《虚假申报法》下的责任,处罚可达政府损失的三倍加上每次索赔罚款。
常见问题解答
谁必须遵守 CMMC?
expand_more
CMMC 适用于在 DoD 合同下处理联邦合同信息(FCI)或受控非密信息(CUI)的国防工业基础承包商和分包商。所需等级取决于信息敏感性和合同要求。
CMMC 三个等级是什么?
expand_more
Level 1 覆盖 FCI 的基础保护。Level 2 对齐保护 CUI 的 NIST SP 800-171 110 项要求,并视合同要求进行自评或 C3PAO 认证。Level 3 针对更高风险 CUI 项目增加增强保护,并由政府评估。
FCI 和 CUI 有什么区别?
expand_more
FCI 是政府根据合同提供或为政府生成的非公开信息。CUI 是依法规、规章或政府统一政策需要保护或传播控制的信息。CUI 通常触发更严格的 Level 2 要求。
SSP 是什么?
expand_more
系统安全计划描述系统边界、环境、责任角色以及每项安全要求如何实施。对于 CMMC Level 2,清晰且最新的 SSP 是自评和 C3PAO 评估的关键证据。
CMMC 可以使用 POA&M 吗?
expand_more
在特定条件下,部分未满足要求可以有限使用 POA&M,但某些高价值要求必须在获得条件状态前完全满足。POA&M 项必须在允许期限内整改,通常为 180 天。
CMMC 认证有效期多久?
expand_more
CMMC 认证通常有效三年,但组织必须提交年度声明并持续保持合规。系统、边界或合同发生重大变化时,可能需要重新评估或更新证据。
CMMC 与 NIST SP 800-171 有什么关系?
expand_more
CMMC Level 2 建立在 NIST SP 800-171 的 110 项安全要求之上。CMMC 增加评估、评分、声明和合同执行机制,使 DoD 能验证承包商是否保护 CUI。
如果承包商虚假声称合规会怎样?
expand_more
虚假或无证据支持的网络安全陈述会带来合同风险,并可能触发《虚假申报法》责任。组织应确保评估、SPRS 记录、高层声明和实际控制环境一致。