C2M2 和 CMMC
科技
2024-11-06 07:57
山东
![]()
进网络安全行业群
C2M2(网络安全能力成熟度模型)和 CMMC(网络安全成熟度模型认证)描述的网络安全活动有很大的重叠。两种模型的用户都会发现许多相似或互补的实践。这两种模式都侧重于旨在加强组织网络安全态势的实践。C2M2 和 CMMC在结构上有相似之处,比如实践在领域中的逻辑安排。尽管两个模型都有标度级别,但C2M2和CMMC的成熟度指标级别(MILs)之间没有直接的相关性。在C2M2,组织使用MILs来衡量其网络安全能力的成熟度以及制度化水平(即,这些能力在组织运营中的根深蒂固程度)。CMMC的级别是一套网络安全要求,与FCI的基本安全要求和CUI的安全要求相一致。这些水平并不直接衡量一个组织活动的制度化。C2M2和CMMC的另一个关键区别是评估方法。C2M2自我评估工具通过为期一天的引导式研讨会收集研讨会参与者对每项实践实施水平的反馈。C2M2自我评估的准备工作通常包括确定范围、选择研讨会参与者以及处理研讨会后勤事宜。准备CMMC 评估需要额外的时间和资源,因为它需要证据来证实每项要求的评估目标的实现。如果一个组织需要接受第三方评估,它可以参考相应的 CMMC 评估指南中的潜在评估方法和对象,以获得有关评估员可能要求检查和测试的内容以及可能被采访的个人的更多信息。没有使用指南的要求。组织可以使用NISTSP 800-171A或其他工具来帮助准备第三方评估。即使组织完成了自我评估,类似的文档也是必要的(例如,系统安全计划(SSP)、网络图、POA&M)。不管CMMC评估的类型是什么,对组织来说,考虑每个CMMC要求的单独评估目标是很重要的。在第2级,NIST SP 800-171要求具有将由评估员评估的评估目标。组织结构或组织提供的服务决定了 C2M2 的范围界定。CMMC 评估的范围界定需要以数据为中心的方法。由于 DIB 承包商有责任保护 FCI 和 CUI 的机密性,他们必须根据敏感信息的处理、存储和传输位置完成范围界定。根据各种因素,如组织规模、业务类型和提供的服务,组织可能会选择在物理上或逻辑上分离 FCI 和 CUI,这可能会缩小CMMC 评估的范围。相反,实现这样的分离可能是不可行的,因此组织可能会选择企业级的范围。CMMC文档要求不同于完成C2M2所需的文档要求自我评价。一些C2M2实践描述了政策或程序的实施,但是,因为C2M2自我评估不是基于证据的,所以组织不需要证实其实践响应是人为的。在准备CMMC评估时,组织可能会发现他们已经准备好了类似的文档,但是应该查看CMMC评估指南,以确定在准备CMMC评估时可能需要的其他文档。C2M2是一个双渐进成熟度模型,既衡量网络安全能力的实施,也衡量这些能力在组织运营中的根深蒂固程度,称为“制度化”每个C2M2领域中类似的一组实践,称为管理活动,测量将特定领域实践制度化的活动的性能。例如,实现过程并提供足够的资源来完成特定领域的活动,增加了组织的信心,即这些活动将被一致地执行,甚至在压力时期。组织应该考虑在开发NIST SP 800-171修订版2时使用的剪裁标准。NIST SP 800-171修订版2的附录E包括了这些标准的细节,以及“非联邦组织在没有具体说明的情况下通常需要满足的”控制或控制增强措施控制措施包括根据NIST SP 800-53适度基准定制的策略、程序和其他文档,该基准是CUI衍生的安全要求的基础。| -
