CYBERSECURITY MATURITY

MODEL CERTIFICATION

Som leverandør til det amerikanske forsvar stilles der krav om at man har en Cyber security Maturity Model certificering (CMMC). Det kræver, at man har styr på IT-sikkerheden i virksomheden og kan dokumentere dette.

Facts om CMMC

Cybersecurity Maturity Model Certification (CMMC) er et helt nyt rammenetværk indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, forsvarsindustrien (DIB) og det amerikanske forsvarsministerium (US Department of Defense – DoD).

Et krav for at deltage i fremtidige udbud

Virksomheder, der ønsker at komme i betragtning til fremtidige DoD udbud, vil blive mødt med et krav om CMMC. Det gælder både hovedleverandører (prime) og underleverandører (subs). De første udbud med krav om CMMC, forventes klar i starten  af 2021. Alle udbud forventes at indeholde krav om CMMC inden 2026.

DOKUMENTER & LINKS

  • LinkedIn

Fem forskellige sikkerhedsniveauer

CMMC er inddelt i fem niveauer (levels), hvor et er det laveste niveau og fem det højeste. Level et og to stiller krav om basis sikkerhed, level tre om et formaliseret IT-sikkerheds setup, imens level fire og fem stiller krav om avanceret IT-sikkerhed og overvågning.

Udbud angiver det krævede sikkerhedsniveau

DoD vil i fremtiden angive det påkrævende sikkerhedsniveau for at komme i betagtning til de enkelte udbud. Udbud hvor der ikke behandles CUI (Controlled Unclassified Information) kan typisk nøjes med level et eller to, imens udbud som kræver behandling af CUI kræver level tre, fire eller fem. Virksomheder, som kun leverer ”Commercial-Off-The-Shelf” (COTS) produkter, behøver ikke CMMC.

Det kan være tidskrævende at blive klar

CMMC er i høj grad baseret på NIST800-171 rammenetværket, som omhandler beskyttelse af Controlled Unclassified Information (CUI). For virksomheder som i forvejen har implementeret og efterlever NIST800-171 (DFARS), er vejen til CMMC ikke lang. Her kan man være klar til en level tre certificering indenfor 6-12 måneder. Har man derimod ingen, eller få NIST800-171 kontroller implementeret og vil certificeres til level tre eller højere, kan det hurtigt tage mere end et år at blive klar.

Vi kan hjælpe med hele processen

Vi kan hjælpe med hele processen omkring CMMC. Fra gap-analyse til udarbejdelse og implementering af politikker, procedurer og kontroller. Vi er vant til at indgå i et tæt samarbejde med compliance specialister, ITafdeling og eventuelle IT-servicepartnere og kan deltage i hele CMMC processen, som almindelig projektdeltager eller projektleder.

Vi tilbyder:

  • Gap-analyse – analyse af modenhed i forhold til kravene i CMMC

  • Projektledelse – styring af alle projektets faser

  • Politikker, procedurer og kontroller – udarbejdelse af alle dokumenter

  • Hjælp til certificering – vi deltager i selve certificeringsfasen

  • Hjælp til implementering – SIEM system, værktøjer til styring af CUI osv.

  • Undervisning – vi undervisere medarbejdere i IT-sikkerhed

ULRIK HOLM NIELSEN

Tel. +45 46 97 50 60

SPØRGSMÅL OG SVAR

Hvad er CMMC?


Cybersecurity Maturity Model Certification (CMMC) er et helt nyt rammenetværk indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, Johns Hopkins University Applied Physics Laboratory,forsvarsindustrien (DIB) og det amerikanske forsvarsministerium (US Department of Defense – DoD).




Hvad er formålet med CMMC?


Formålet med CMMC er at beskytte Controlled Unclassified Information (CUI) samt forbedre cybersikkerheden hos Departments Of Defence (DoD) leverandører (Supply Chain).




Hvad er Controlled Classified Information (CUI)?


Controlled Unclassified Information (CUI) er uklassificeret information som de amerikanske myndigheder (herunder DoD) ønsker at beskytte. CUI kan f.eks. være oplysninger om tilbud, udviklingsplaner, tekniske tegninger, teknologi samt meget andet. De enkelte udbud indholder information om hvilke oplysninger som er CUI.

https://www.acq.osd.mil/cmmc/faq.html




Hvem står for CMMC certificering i Danmark?


Det er endnu ikke afgjort, hvem der skal være Accreditation Body (AB) i Danmark. Altså den virksomhed der skal stå for certificeringen på vegne af DoD.




Hvor får jeg svar på yderligere spørgsmål om CMMC?


Du kan finde en liste med spørgsmål og svar her:
https://www.acq.osd.mil/cmmc/faq.html
Vi hjælper også gerne med at finde svar på dine spørgsmål - skriv til os i formularen på siden, så finder vi et svar.





LÆR MERE OM CMMC HER

Video fra CMMC Academy webinar 22. juli 2020.

Bliv gratis medlem her: https://www.celerium.com/cmmc-academy-for-defense-suppliers

HVORFOR VÆLGE OS?

Vi er vant til at arbejde med governance, risk og compliance og har en pragmatisk tilgang til opgaven. Samtidigt taler vi et sprog, som alle kan forstå.