美国防部网络发布的安全成熟度模型认证 (CMMC) 计划拟议规则的要点整合-CSDN博客

本文链接：https://blog.csdn.net/qq_41432686/article/details/135433964

文章目录

前言
一、网络安全成熟度模型认证（CMMC）的规则
二、CMMC计划实施阶段
三、最新拟议规则要点
总结

前言

美国防部2023年12月26日发布网络安全成熟度模型认证（CMMC）计划拟议规则，该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构，将对美国防工业基础超过20万家公司的网络安全合规性产生重大影响。

一、网络安全成熟度模型认证（CMMC）的规则

美国防部2023年底发布了期待已久的网络安全成熟度模型认证（CMMC）计划拟议规则。作为保护国防工业基础（DIB）免受不断演变的安全威胁的一种手段，该计划最初由美国防部2019年提出。承包商信息系统是重点，CMMC的目的是通过要求实施与风险相称的特定安全保护，并从自我证明模型转变为需要第三方验证涉及敏感、非机密信息的某些合同的安全措施实施情况的模型，来增强网络安全合规性。CMMC临时规则于2020年11月30日生效。随着美国防部宣布CMMC2.0，该临时规则于2021年11月提出了重大修订。

美国防部首席信息官（CIO）办公室于2023年12月26日发布了最新的CMMC拟议规则。该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构，并具有一些附加功能和要求。在提出CMMC拟议规则的同时，美国防部还为CMMC计划提供了8份额外的指导文件，涵盖CMMC模型、评估、范围界定等方面。

（一）确定了网络安全要求的分层模型，

要求承包商根据信息的敏感性实施三级网络安全标准。其中，第1级针对涉及联邦合同信息（FCI）的合同，要求承包商必须遵守《美国联邦采购法规（FAR）》52.204-21规定的15项安全要求；第2级适用于涉及受控非机密信息（CUI）的合同，承包商除需遵守第1级要求外，还必须遵守《美国国家标准与技术研究所特别出版物800-171修订版2》中规定的110项安全要求；第3级旨在增强CUI抵御高级持续威胁（APT）的保护，承包商除在第2级基础上，还需遵守《美国国家标准与技术研究所特别出版物800-172》中选定的24项安全要求。