• 晶片資安第一站

CMMC 五大等級解析

CMMC 驗證計劃的每個等級,都有其相應的防護目標;具體來說,承包商將依照其認證等級,準備相關控制措施來保護聯邦合約資訊(Federal Contract Information,FCI)乃至於受控的未分類資訊(Controlled Unclassified Information,CUI),甚至是削減進階持續威脅 (APT) 的風險。

  • 級別 1 – 保護聯邦合約資訊 (FCI)、
  • 級別 2 – 過渡以保護受控非機密資訊 (CUI)、
  • 級別 3 – 保護 CUI、
  • 級別 4 和 5 – 保護 CUI 並降低 APT 風險。

CUI 與 FCI 不同之處在於,基於其國家資訊安全保護,CUI 需要更高級別的保護。不論是由政府提供或擁有的資訊,或者由承包商代表政府建置或擁有的資訊,或法律、法規或政府政策要求其涵蓋或要求機構允許其使用維護或傳播控制措施對其進行處理。FCI 合約的內容都無計畫公開發佈。

CMMC 各等級對應之法規規範

等級一基本上只要求廠商執行聯邦採購法規(FAR)48 CFR 52.204-21中的所有 17 種實踐。 這些實踐的目標集中在保護 FCI;承包商只要能夠執行指定的實踐就好,並不會評估其作業流程的成熟度。

等級二則是等級一與等級三的過渡期;它涵蓋了 72 種實踐,包含了 FAR、NIST SP 800-171 r1 之中的 48 種實踐,以及支持中級網路安全衛生的 7 種實踐。在等級二當中,承包商不只要進行資安實踐,更需要建立並記錄其實踐和策略;這樣一來,承包單位才可以複製實踐並發展成熟度。

到了等級三,實踐的項目則拓展到了 130 項,包含了 FAR,NIST SP 800-171 r1 所有實踐,以及支持良好網路安全衛生的 20 種實踐。 等級三的重點在於保護 CUI,而組織必須建立計劃以管理並維護其網路安全計劃中的每種實踐。

等級四與等級五則分別涵蓋了 156 和 171 種實踐,各自涉及了 FAR、NIST SP 800-171 r1,NIST SP 800-172 草案的部分實踐與展示主動/進階網路安全計畫的實踐。這兩個層級的成熟度,開始在保護 FCI 跟 CUI 之外,注意並降低來自 APT 的風險。這時組織應該開始審查、衡量實踐的效果,並採取相應的糾正措施以標準化/優化整個組織的流程實施。

Share:
This site is registered on wpml.org as a development site.