VI ER DIN NYE TEAMPLAYER
INDENFOR CYBERSIKKERHED
Som leverandør til det amerikanske forsvar stilles der krav om at man har en Cyber security Maturity Model certificering (CMMC). Det kræver, at man har styr på IT-sikkerheden i virksomheden og kan dokumentere dette.
Facts om CMMC
Cybersecurity Maturity Model Certification (CMMC) er et helt nyt rammenetværk indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, forsvarsindustrien (DIB) og det amerikanske forsvarsministerium (US Department of Defense – DoD).
Et krav for at deltage i fremtidige udbud
Virksomheder, der ønsker at komme i betragtning til fremtidige DoD udbud, vil blive mødt med et krav om CMMC. Det gælder både hovedleverandører (prime) og under- leverandører. De første udbud med krav om CMMC, forventes allerede klar i slutningen af 2020. Alle udbud forventes at indeholde krav om CMMC inden 2026.
DOKUMENTER & LINKS
Et krav for at deltage i fremtidige udbud
CMMC er inddelt i fem niveauer (levels), hvor et er det laveste niveau og fem det højeste. Level et og to stiller krav om basis sikkerhed, level tre om et formaliseret IT-sikkerheds setup, imens level fire og fem stiller krav om avanceret IT-sikkerhed og overvågning.
Man vælger selv sit sikkerhedsniveau
Man vælger selv det sikkerhedsniveau, man vil certificeres efter. Det vil typisk være afhængigt af den ydelse, man leverer til DoD og fremgå af udbuddet. Leverandører af ”nuts & bolts”, kan formentlig nøjes med level et eller to, imens teknologi-leverandører skal certificeres indenfor level tre, fire eller fem. Virksomheder, som kun producerer ”Commercial-Off-The-Shelf” (COTS) produkter, behøver ikke CMMC.
Det kan være tidskrævende at blive klar
CMMC er i høj grad baseret på NIST800-171 rammenetværket, som omhandler beskyttelse af Controlled Unclassified Information (CUI). For virksomheder som i forvejen har implementeret og efterlever NIST800-171 (DFARS), er vejen til CMMC ikke lang. Her kan man være klar til en level tre certificering indenfor måneder. Har man derimod ingen, eller få NIST800-171 kontroller implementeret og vil certifi-ceres til level tre eller højere, kan det hurtigt tage et år eller mere, at bliver klar.
Vi kan hjælpe med hele processen
Vi kan hjælpe med hele processen omkring CMMC. Fra gap-analyse til udarbejdelse og implementering af politikker, procedurer og kontroller. Vi er vant til at indgå i et tæt samarbejde med compliance specialister, ITafdeling og eventuelle IT-servicepartnere og kan deltage i hele CMMC processen, som almindelig projektdeltager eller projektleder.
Vi tilbyder:
-
Gap-analyse – analyse af modenhed i forhold til kravene i CMMC
-
Projektledelse – styring af alle projektets faser
-
Politikker, procedurer og kontroller – udarbejdelse af alle dokumenter
-
Hjælp til certificering – vi deltager i selve certificeringsfasen
-
Hjælp til implementering – SIEM system, værktøjer til styring af CUI osv.
-
Undervisning – vi undervisere medarbejdere i IT-sikkerhed
HVORFOR VÆLGE OS?
Vi er vant til at arbejde med governance, risk og compliance og har en pragmatisk tilgang til opgaven. Samtidigt taler vi et sprog, som alle kan forstå.