4.5K
圖三 / 圖片來源:Official U.S. Department of Defense Website
第一級基礎防護(Foundational)
- 適用的控制領域及項目包含:6大控制領域,共17個控制項。
(1) 存取控制:4項
(2) 識別與認證:2項
(3) 多媒體防護:1項
(4) 實體防護:4項
(5)系統與通訊防護:2項
(6) 系統與資訊完整性:4項
- 適用對象包含不處理與國家安全敏感資訊CUI的合約供應商。
- 評估方式:年度自我評鑑,不須第三方外部評鑑,並登錄於供應商績效風險系統 (SPRS) 中,可參考CMMC Level 1自評指引文件 (Level 1 Self-Assessment Guide)。
第二級進階防護(Advanced)
- 適用的控制領域及項目包含:14大控制領域,共110個控制項。
(1) 存取控制:22項
(2) 認知和訓練:3項
(3) 稽核與權責:9項
(4) 組態管理:9項
(5) 識別和認證:11項
(6) 事件回應:3項
(7) 維護:6項
(8) 多媒體防護:9項
(9) 人員安全:2項
(10) 實體防護:6項
(11) 風險評估:3項
(12) 安全評估:4項
(13) 系統和通訊防護:16項
(14) 系統與資訊完整性:7項
- 適用對象包含處理或不處理與國家安全敏感資訊CUI的合約供應商。
- 評估方式:
涉及處理CUI資訊者需經第三方評估機構(C3PAO)驗證,規範每三年進行一次第三方評估,可參考CMMC Level 1自評指引文件 (Level 2 Self-Assessment Guide)。不處理CUI資訊者採年度自我評鑑(圖三)。
第三級專家防護(Expert)適用的供應商
- 適用的控制領域及項目:仍在開發中,但至少包含14大控制領域,110個控制項。
- 適用對象包含對於CUI的防護需要有最高優先等級者。
- 評估方式:由政府官員評估,目前在制定評估中。
CMMC 2.0 tailors model and assessment requirements