CMMC 2.0 - CYBERSECURITY MATURITY
MODEL CERTIFICATION
Som leverandør til det amerikanske forsvar kan der stilles krav om at man har en Cyber security Maturity Model certificering (CMMC). Det kræver, at man har styr på IT-sikkerheden i virksomheden og kan dokumentere dette.
Facts om CMMC
Cybersecurity Maturity Model Certification (CMMC), er et nyere rammenetværk
indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, Johns Hopkins University Applied Physics Laboratory, forsvars
industrien (DIB) og det amerikanske forsvarsministerium (DoD). CMMC begyndte i en tidligere udgave (1.0) og er senest opdateret til version 2.0
Et krav for at deltage i fremtidige udbud, opnå eller forlænge eksisterende kontrakter
Virksomheder, der ønsker at komme i betragtning til fremtidige DoD udbud, vil blive mødt med et krav om CMMC. Det gælder både hovedleverandører (primes) og underleverandører (subs). Eksisterende underleverandører vil, hvis de ikke allerede er underlagt NIST 800-171, blive mødt med samme krav if. ex kontraktforlængelser.
DOKUMENTER & LINKS
Tre forskellige sikkerhedsniveauer
CMMC 2.0 er inddelt i 3 niveauer (levels), hvor 1 er det laveste og 3 det højeste. Level 1 stiller krav om basis sikkerhed, level 2 om et formaliseret IT-sikkerheds setup, imens level 3 stiller krav om avanceret IT-sikkerhed og overvågning.
Registrering af score (SPRS)
Som afslutning på en CMMC implementering udregnes en score, som efterfølgende registreres på DoD's SPRS system. SPRS er et register hvor DoD har adgang til alle virksomheders cybersikkerhedsscore.
Udbud angiver det krævede sikkerhedsniveau
DoD vil i fremtiden angive det påkrævede sikkerhedsniveau for at komme i betagtning til de enkelte udbud. Udbud hvor der ikke behandles CUI (Controlled Unclassified Information) kan typisk nøjes med level 1, herunder FCI (Federal Contract Information), imens udbud som kræver behandling af CUI kræver level 2 eller 3. Virksomheder, som kun leverer ”Commercial-Off-The-Shelf” (COTS) produkter, behøver ikke CMMC.
Det kan være tidskrævende at blive klar
CMMC 2.0 er baseret på NIST800-171 rammenetværket, som omhandler beskyttelse af Controlled Unclassified Information (CUI). For virksomheder som i forvejen har implementeret og efterlever NIST800-171 (DFARS 252.204-7012, 7019 & 7020), er vejen til CMMC ikke lang. Her kan man være klar til en level 2 certificering indenfor 3-6 måneder. Har man derimod ingen, eller få NIST800-171 kontroller implementeret og vil certificeres til level 2 eller højere, kan det hurtigt tage mere end et år at blive klar.
Vi assisterer med hele processen
Vi assisterer med hele processen omkring CMMC. Fra gap-analyse til udarbejdelse og implementering af politikker, procedurer og kontroller, samt tekniske sikkerhedssystemer. Vi er vant til at indgå i et tæt samarbejde med compliance specialister, ITafdeling og eventuelle IT-servicepartnere.
Vi tilbyder:
-
Implementering af CMMC 2.0 level 1 i virksomhedens eksisterende infrastruktur
-
En implementering af level 1 giver mulighed for at behandle FCI (Federal Contract Information), hvilket i praksis gør det muligt at kommunikere kontrakt information, med henblik på tildeling af denne.
-
-
Implementering af CMMC level 2 (enklave)
-
Vi har udvilket en samlet løsning kaldet EPP™ (Enclave Processing Platform), til behandling af CUI under ex. DFARS 7012. En "enklave" er et selvstændigt økosystem, hvor man isoleret bearbejder det beskyttede og sensitive materiale.
-
-
Både level 1 og 2 løsningerne er end-to-end implementeringer. Vi fører jeg gennem hele processen og vedligeholder efterfølgende både de tekniske men også dokumentationsmæssige krav
HVORFOR VÆLGE OS?
Vi er vant til at arbejde med governance, risk og compliance og har en pragmatisk tilgang til opgaven. Samtidigt taler vi et sprog, som alle kan forstå.