网络安全成熟度模型认证 (CMMC)

CMMC 2.0 是国防部 CMMC 网络安全模型的下一次迭代。它将要求简化为三个级别的网络安全—基础、高级和专家级—并将每个级别的要求与众所周知和广泛接受的 NIST 网络安全标准保持一致。

2021 年 12 月 3 日，美国国防部（DoD）发布了 CMMC 2.0 模型概览。CMMC 2.0 模型包含联邦采购条例（FAR）52.204-21 中规定的 FCI 基本保护要求，以及 NIST SP 800-171r2 中根据国防联邦采购条例补充（DFARS）条款 252.204-7012 中规定的 CUI 安全要求。

• CMMC 第 1 级（基础）仅适用于拥有 FCI 的公司；信息需要保护，但对国家安全并不重要；需要 17 项基本保护措施；CMMC 第 1 级规划指南
• CMMC 第 2 级（高级）适用于拥有 CUI 的公司；将需要来自 NIST SP 800-171r2 中的 110 个实践；可能需要第三方或自我评测，具体取决于信息类型；CMMC 第 2 级规划指南
• CMMC 第 3 级（专家）适用于 CUI 的最高优先级项目；将使用 NIST SP 800-172 的子集；将由政府官员进行评测

网络安全是国防部的重中之重。

国防工业基地（DIB）是日益频繁和复杂的网络攻击的目标。为了保护美国的独创力和国家安全信息，国防部开发了 CMMC 2.0 来动态增强 DIB 网络安全，以应对不断变化的威胁并保护信息。

一旦 CMMC 完全实施，作为授予合同的条件，某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的 CMMC 级别。

国防部表示，在 CMMC 2.0 规则制定过程完成之前，它不打算批准在任何合同中包含 CMMC 要求。 国防部估计从 2021 年 11 月起需要 9-24 个月完成该过程。

一旦实施了 CMMC 2.0，国防部将在征求和任何信息请求（RFI）中指定所需的 CMMC 级别（如果使用）。

国防部供应链中的各个组织、项目和承包商将使用 AWS 来转变其业务和运营。它们将利用 AWS 创建安全的云环境，以根据国防联邦采办条例补充 (DFARS)、DoD 云计算安全要求指南 (SRG)、联邦风险和授权管理计划 (FedRAMP) 以及其他联邦合规性计划的要求处理、维护和存储美国联邦政府数据。

您可以查阅相关案例研究，了解 AWS 是如何帮助 DoD（包括美国国防后勤局、美国空军、美国海军和美国特种作战司令部）以及 DoD 承包商（如 Lockheed Martin、Raytheon 和 GDIT）的。有关 AWS 如何满足国防部高安全要求的更多信息，请参阅适用于国防领域的云计算网页。

临时 DFARS 规则建立了一个为期五年的过渡期，在此期间，仅在选定的试点合同中要求遵守 CMMC，并经国防部采购和维持副部长办公室（OUSD(A&S)）批准。国防部表示，在 CMMC 2.0 规则制定过程完成之前，它不打算批准在任何合同中包含 CMMC 要求。

一旦 CMMC 2.0 通过规则制定，国防部将要求公司遵守修订后的 CMMC 2.0 框架。

否。CMMC 针对特定 CMMC 等级的要求来衡量 DIB 承包商的网络安全能力和流程。

作为云服务提供商（CSP），AWS 获得了 FedRAMP 的 FedRAMP High 授权，以及国防信息系统局（DISA）的 SRG 影响级别 2、4 和 5 授权。

否。国防部尚未定义其他合规性计划（例如 FedRAMP 或 ISO 27001 信息安全管理）将如何映射到 CMMC 2.0 级别。

AWS CMMC 客户包提供了客户可以使用 AWS GovCloud（美国）中的 AWS 登录区加速器从 AWS 继承的 CMMC 2 级/NIST SP 800-171 安全控制的明细。

客户可在 AWS 标准及 AWS GovCloud（美国）区域的 AWS Artifact 中下载 AWS CMMC 客户包。

符合。AWS 专业服务团队顾问接受过在 AWS GovCloud（美国）进行的 AWS 登录区加速器方面的培训，并且能够支持可解决 CMMC 合规性挑战的客户实施。

AWS 旨在让客户可以根据其业务和国防部计划和合同的要求，灵活地在标准和限制性区域 [美国东部/西部、AWS GovCloud（美国）等] 内部署和认证 AWS CMMC 2.0 解决方案。