关于 CMMC 的 6 大问题

制造商需要了解的内容

网络安全在制造业中并不是一个新课题。当连接设备、创新软件和先进的机器人系统开始进入车间时，网络安全就成为对话的一部分。网络安全与工业 4.0 文章一起成为头条新闻，但浮华的新技术的嗡嗡声主导了对话。

制造商倾向于将网络安全放在次要位置。这将不再是许多人的选择。在最易受网络攻击和成为网络攻击目标的行业中，制造业一直名列前 5 名。在安全合规性和风险管理方面，医疗保健、金融服务和政府机构部门都遵守了更高的标准。制造业尚未达到更高的标准，因此更容易受到网络犯罪的影响。

网络安全成熟度模型认证 (CMMC) 正在对行业产生影响，以下是制造商需要提出的 6 个关键问题。

什么是CMMC？

CMMC 代表网络安全成熟度模型认证。该认证采用独特的方法来确保关键知识产权的安全。起初，只有为国防部 (DoD) 处理受控非机密信息 (CUI) 的制造商和供应商才需要 CMMC。

网络安全成熟度模型认证 (CMMC) 是证明国防部供应链中大约 300,000 家承包商和分包商的适当级别的网络安全流程和保护措施的方法。 CMMC 流程现在需要 CMMC 第三方评估组织 (C3PAO) 来证明公司是投诉的，并且 CUI 是安全的。

CMMC 有 5 个成熟度级别，从“基本网络安全卫生”到“高级/渐进”。随着成熟度级别的提高，企业必须遵循的规则和准则也随之提高，以便获得认证并保持合规性。

为什么要创建 CMMC？

国防部认识到网络攻击是一种重大威胁，尤其是对支持大型主要供应商的中小型分包商而言。不良行为者认识到主要企业正在花费更多资源来防止攻击，并且他们的供应链更容易成为目标。美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-171 网络安全要求旨在保护与国防部 (DoD) 合作的承包商的敏感信息，以遵守国防联邦采购条例补充 (DFARS) 252.204 -7012 条款。当国防部估计只有一小部分供应链符合这些准则时，就创建了网络安全成熟度模型认证 (CMMC)。

不幸的是，网络攻击每天都在发生。 “超过 80% 的国防信息都存在于合作伙伴的网络中，这不再是关于你在做什么或我在做什么的对话；更重要的是我们作为一个集体正在做的事情来保护国防，”负责网络采购的助理国防部长的特别助理、CMMC 的主要支持者之一凯蒂·阿灵顿 (Katie Arrington) 说。

据报道，2018 年 12 月，中国黑客窃取了海军承包商的信息，其中包括船舶维修数据和导弹计划。这些行为直接威胁到国家安全。即使像洛克希德马丁这样的大型国防部供应商制定了顶级网络安全计划，国防部供应链中的每个分包商和供应商也必须保护自己，否则他们就会成为网络犯罪分子的切入点。国防部供应链中的一个薄弱环节就会使整个国家处于危险之中。

我的公司需要CMMC吗？

每家公司都应该投资于加强其网络安全。根据 Radware 调查，每次网络攻击的估计成本为 460 万美元 ¹ . 13% 的调查参与者经历了网络攻击，使他们的公司损失 1000 万美元或更多，这一数字在 2018 年至 2019 年的短短一年内翻了一番。新泽西制造扩展计划 (NJMEP) 的网络安全主题专家建议每个制造商都受益于达到相当于“中级网络卫生”或 CMMC 的 2 级作为最佳实践。对于国防部承包商，成熟度级别将取决于公司在国防部供应链中的位置。

确定国防部供应商、分包商或制造商必须遵守的五个 CMMC 成熟度级别中的哪一个将由主要国防部承包商确定，或者可以通过 CMMC 差距分析发现。与 DoD 进行任何工作的所有供应商、分包商或制造商，无论多么小，都需要一定级别的 CMMC，但成熟度级别将根据企业处理的信息和正在进行的工作而有所不同。

如果国防工业基地 (DIB) 公司不拥有受控非机密信息 (CUI) 但拥有联邦合同信息 (FCI)，则需要满足 FAR 第 52.204-21 条，并且必须至少获得 CMMC 级别 1 的认证。

我什么时候需要开始认证过程？

现在。国防部供应商、分包商和制造商应尽快开始成为 CMMC 的过程，以避免失去关键的国防部合同的风险。从开始到结束，这个过程可能需要一年以上的时间。 2020 年 6 月，CMMC 开始出现在 RFI 上。企业可以期待 RFP 从 2020 年 9 月开始提及 CMMC，评估将在 2020 年秋季开始。

现在采取行动并与一位非常熟悉 CMMC 和 CMMC 起源框架 NIST 8001-171 的顾问合作将是至关重要的。认证从评估开始，以确定组织当前所处的 CMMC 成熟度级别。下一步是进行深入的差距分析，然后转向全方位服务补救。每个 CMMC 成熟度级别都需要不同的时间和精力。但是，尽快开始将减轻公司、领导层和员工的负担。

如果我没有获得认证会怎样？

对于国防部承包商、分包商、供应商或制造商……

成熟地实现必要的 CMMC 级别可能意味着能否获得下一份国防部合同。国防部主承包商将开始要求所有分包商遵守这些重要的新规则。任何不遵守这些准则并成熟地达到适当 CMMC 水平的制造商将无法继续开展国防部业务。

对于非国防部制造商......

截至目前，如果不获得 CMMC，国防部承包商是唯一有可能失去国防部工作的人。然而，中小型制造商总是面临网络攻击完全瘫痪他们的业务的风险，有时甚至到他们永远无法在财务上恢复的地步。该认证为非国防部制造商提供了出色的网络安全基线和最佳实践。根据网络安全评估的结果，企业可以确定最适合他们的成熟度级别。

谁能回答我关于 CMMC 的所有其他问题？

获得 CMMC 可能是一个挑战，尤其是在没有正确支持的情况下。该认证仍处于起步阶段，这为制造商自行导航创造了困难的环境。探索像 acq.osd.mil/cmmc/faq.html 这样的网站或与像 NJMEP 这样的顾问一起工作是最好的开始方式，并将有助于将一个艰巨的过程转变为任何企业的简化增值。

了解 CMMC、哪些业务将受到影响、何时采取行动以及确定必要的成熟度级别可能令人生畏。不要一个人去做。网络安全至关重要，但也可能很复杂。与正确的团队合作并访问正确的信息将证明是无价的。

小心

围绕这个话题有很多问题，在它推出的过程中也有很多发展。早期，许多公司声称能够提供帮助并收取大量费用，即使指南的最终版本甚至尚未确定或传达。有无数公司出售解决方案或服务来提供帮助，可能很难确定该信任谁。这不能简单地外包给声称熟悉这些要求的托管服务提供商 (MSP)。

1.https://www.radware.com/newsevents/pressreleases/c-suite-2019