VI ER DIN NYE TEAMPLAYER

INDENFOR CYBERSIKKERHED

Som leverandør til det amerikanske forsvar stilles der krav om at man har en Cyber security Maturity Model certificering (CMMC). Det kræver, at man har styr på IT-sikkerheden i virksomheden og kan dokumentere dette.

Facts om CMMC

Cybersecurity Maturity Model Certification (CMMC) er et helt nyt rammenetværk indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, forsvarsindustrien (DIB) og det amerikanske forsvarsministerium (US Department of Defense – DoD).

Et krav for at deltage i fremtidige udbud

Virksomheder, der ønsker at komme i betragtning til fremtidige DoD udbud, vil blive mødt med et krav om CMMC. Det gælder både hovedleverandører (prime) og under- leverandører. De første udbud med krav om CMMC, forventes allerede klar i slutningen af 2020. Alle udbud forventes at indeholde krav om CMMC inden 2026.

DOKUMENTER & LINKS

Et krav for at deltage i fremtidige udbud

CMMC er inddelt i fem niveauer (levels), hvor et er det laveste niveau og fem det højeste. Level et og to stiller krav om basis sikkerhed, level tre om et formaliseret IT-sikkerheds setup, imens level fire og fem stiller krav om avanceret IT-sikkerhed og overvågning.

Man vælger selv sit sikkerhedsniveau

Man vælger selv det sikkerhedsniveau, man vil certificeres efter. Det vil typisk være afhængigt af den ydelse, man leverer til DoD og fremgå af udbuddet. Leverandører af ”nuts & bolts”, kan formentlig nøjes med level et eller to, imens teknologi-leverandører skal certificeres indenfor level tre, fire eller fem. Virksomheder, som kun producerer ”Commercial-Off-The-Shelf” (COTS) produkter, behøver ikke CMMC.

Det kan være tidskrævende at blive klar

CMMC er i høj grad baseret på NIST800-171 rammenetværket, som omhandler beskyttelse af Controlled Unclassified Information (CUI). For virksomheder som i forvejen har implementeret og efterlever NIST800-171 (DFARS), er vejen til CMMC ikke lang. Her kan man være klar til en level tre certificering indenfor måneder. Har man derimod ingen, eller få NIST800-171 kontroller implementeret og vil certifi-ceres til level tre eller højere, kan det hurtigt tage et år eller mere, at bliver klar.

Vi kan hjælpe med hele processen

Vi kan hjælpe med hele processen omkring CMMC. Fra gap-analyse til udarbejdelse og implementering af politikker, procedurer og kontroller. Vi er vant til at indgå i et tæt samarbejde med compliance specialister, ITafdeling og eventuelle IT-servicepartnere og kan deltage i hele CMMC processen, som almindelig projektdeltager eller projektleder.

Vi tilbyder:

  • Gap-analyse – analyse af modenhed i forhold til kravene i CMMC

  • Projektledelse – styring af alle projektets faser

  • Politikker, procedurer og kontroller – udarbejdelse af alle dokumenter

  • Hjælp til certificering – vi deltager i selve certificeringsfasen

  • Hjælp til implementering – SIEM system, værktøjer til styring af CUI osv.

  • Undervisning – vi undervisere medarbejdere i IT-sikkerhed

DORTHE NORTOFT

Tel. +45 46 97 50 60

SPØRGSMÅL OG SVAR

Hvad er CMMC?


Cybersecurity Maturity Model Certification (CMMC) er et helt nyt rammenetværk indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, forsvarsindustrien (DIB) og det amerikanske forsvarsministerium (US Department of Defense – DoD).




Hvad er formålet med CMMC?


Formålet med CMMC er at beskytte Controlled Unclassified Information (UCI) samt forbedre cybersikkerheden hos Departments Of Defence (DoD) leverandører.




Hvad er Controlled Classified Information (CUI)?


Controlled Unclassified Information (CUI) er uklassificeret information som de amerikanske myndigheder (herunder DoD) ønsker at beskytte. CUI kan f.eks. være oplysninger om tilbud, udviklingsplaner, tekniske tegninger, teknologi samt meget andet. De enkelte udbud indholder information om hvilke oplysninger som er CUI.

https://www.acq.osd.mil/cmmc/faq.html




Hvem står for CMMC certificering i Danmark?


Det er endnu ikke afgjort, hvem der skal være Accreditation Body (AB) i Danmark. Altså den virksomhed der skal stå for certificeringen på vegne af DoD.




Hvor får jeg svar på yderligere spørgsmål om CMMC?


Du kan finde en liste med spørgsmål og svar her:
https://www.acq.osd.mil/cmmc/faq.html
Vi hjælper også gerne med at finde svar på dine spørgsmål - skriv til os i formularen på siden, så finder vi et svar.





HVORFOR VÆLGE OS?

Vi er vant til at arbejde med governance, risk og compliance og har en pragmatisk tilgang til opgaven. Samtidigt taler vi et sprog, som alle kan forstå.