美国防部发布网络安全成熟度模型认证草案 (v0.4)

导语

9月4日，美国国防部部长办公室发布了网络安全成熟度模型认证（Cybersecurity Maturity Model Certification，CMMC）草案（0.4版），对外公开征询意见。CMMC未来将替代NIST SP 800-171，成为美国国防部对外部项目承包商约束的统一安全标准。

9月4日，美国国防部部长办公室发布了网络安全成熟度模型认证（Cybersecurity Maturity Model Certification，CMMC）草案（0.4版），对外公开征询意见。CMMC其主要目的是为了应对国防工业基地（DIB）及其供应链所面临的日益严重的网络安全威胁。根据相关规划，该草案将来是美国国防部保护CUI信息的统一安全标准，替代NIST SP 800-171。

未来，所有美国国防部的供应商都将通过该体系认证，以保护DIB中的CUI。

CMMC框架的内容是由“域”，“功能”和“实践和流程”组成。域由功能组成，功能由实践和流程组成，总共包含18个不同的“网络安全关键功能集”。CMMC的核心内容条款来源于NIST 800-171，但又不拘泥于800-171的内容，参考了众多现有网络安全框架和标准，包括ISO 27001，NIST 800-53，RMF,FIPS 140-2，CMMI,SANS,FedRAMP等。在0.4版本中，在SP 800-171  14个功能点的基础上，新增了四个功能点，“Asset Management”“Recovery”“Cybersecurity Governance”“Situational Awareness”，总计18个功能点。

Access Control	Identification and Authentication	Recovery
Asset Management**	Incident Response	Risk Assessment
Awareness and Training	Maintenance	Security Assessment
Audit and Accountability	Media Protection	Situational Awareness**
Configuration Management	Personnel Security	System and Communications Protection
Cybersecurity Governance**	Physical Protection	System and Information Integrity

**标注的是CMMC在SP 800-171基础之上新增的。

安全能力成熟度的评估则从practice和process两个维度分别进行评估。一个是落地实践Practice方面，另外一个是制度体系Process方面，等级均分为5级。

Maturity   of Practice

Level 5 - Advanced /Progressive

Level 4 - Proactive

Level 3 - Good Cyber Hygiene

Level 2 - Intermediate Cyber Hygiene

Level 1 - Basic Cyber Hygiene

Maturity of Process

Level 5 - Optimized

Level 4 - Reviewed

Level 3 - Managed

Level 2 - Documented

Level 1 - Performed

然而，CMMC未来需要做的事情非常多，有一大堆的问题等待着他们去解决。

时间计划：

1、2019年11月，发布0.6版本；

2、2020年1月，正式发布1.0版本；

3、2020年6月，纳入 REQUEST FOR INFORMATION (RFI) 信息邀请书；（咨询的要求，无约束）

4、2020年秋天，纳入 REQUEST FOR PROPOSAL (RFP) 建议邀请书。（有约束）

DIB：Defense Industrial Base

美国国防工业基地（Defense Industrial Base）是由U.S.C（United States Code） Title 10，第148章规定的，形成了NTIB（National Technology and Industrial Base），为国防工业基地的发展奠定了法律基础，为相关工作提供了便利。美国U.S.C Title 10 第10章规定，国防部秘书可以确定设立工业基地基金（IBF，Industrial Base Fund），其主要职能包括：

（1） 支持、监测和评估工业基地的情况。

（2）根据紧要的运行需要，提出工业基地的关键议题。

（3）支持工业基地的扩张。

（4）提出供应链的薄弱之处。

美国国防工业基地是美国国防工业强大的基础，为了体现统一指挥、集中力量发展美国国防工业的特点，美国国防部还成立了“制造和工业基地政策”（MIBP，Manufacturing and Industrial Base Policy）的组织，专门研究和协调相关的工作。

CUI：Controlled Unclassified Information

CUI受控非涉密信息，是政府创建或拥有的信息，或者是某组织为政府或代表政府创建或拥有的信息，或者是法律、法规或政府范围的政策要求或允许机构使用保护或传播控制进行处理的信息。CUI不包括机密信息，也不包括非执行分支机构在其自身系统中拥有和维护的信息。

查看CMMC原文：https://www.acq.osd.mil/cmmc/index.html

本文来自网安搬运工