Pensijilan Model Kematangan Cybersecurity (CMMC) ialah rangka kerja komprehensif yang direka untuk meningkatkan postur keselamatan siber syarikat dan organisasi dalam sektor pangkalan industri pertahanan (DIB). Diterajui oleh Jabatan Pertahanan (DoD) AS, CMMC bertujuan untuk melindungi data dan maklumat kerajaan yang sensitif yang dikongsi dengan kontraktor dan subkontraktor, memastikan infrastruktur keselamatan siber yang teguh merentas rantaian bekalan.
Sejarah asal usul Pensijilan Model Kematangan Cybersecurity dan sebutan pertama mengenainya.
Idea CMMC boleh dikesan kembali ke Akta Kebenaran Pertahanan Nasional (NDAA) 2018, di mana kebimbangan mengenai perlindungan data sensitif muncul. Sebagai tindak balas kepada ancaman siber yang semakin meningkat, DoD mengiktiraf keperluan untuk pendekatan yang lebih standard terhadap amalan keselamatan siber dalam kalangan kontraktornya. Model CMMC pertama kali disebut secara terbuka pada 2019 oleh DoD sebagai sebahagian daripada usahanya untuk mengurangkan risiko siber dan melindungi maklumat penting.
Maklumat terperinci tentang Pensijilan Model Kematangan Cybersecurity
Pensijilan Model Kematangan Cybersecurity ialah model lima peringkat, setiap peringkat mewakili tahap kematangan keselamatan siber yang lebih tinggi. Tahap ini terdiri daripada amalan kebersihan siber asas kepada keupayaan keselamatan lanjutan. Tumpuan utama CMMC adalah pada perlindungan maklumat tidak terperingkat terkawal (CUI) dan maklumat kontrak persekutuan (FCI) yang dikongsi oleh DoD dengan kontraktornya.
Struktur dalaman Pensijilan Model Kematangan Cybersecurity
Rangka kerja CMMC menggabungkan pelbagai piawaian keselamatan siber dan amalan terbaik ke dalam struktur bersatu. Di setiap peringkat, organisasi mesti menunjukkan kepatuhan mereka kepada set amalan dan proses tertentu, dinilai melalui audit dan penilaian yang dilakukan oleh penilai pihak ketiga bertauliah (C3PAO). Struktur dalaman CMMC termasuk:
-
Domain: Ini mewakili bidang keselamatan siber utama seperti kawalan akses, tindak balas insiden, pengurusan risiko dan integriti sistem dan maklumat.
-
Kemampuan: Setiap domain dibahagikan kepada keupayaan, yang mentakrifkan hasil khusus yang harus dicapai oleh organisasi untuk memenuhi keperluan domain tersebut.
-
amalan: Amalan ialah aktiviti dan tindakan khusus yang mesti dilaksanakan oleh organisasi untuk memenuhi keupayaan.
-
Proses: Proses merujuk kepada dokumentasi dan pengurusan aktiviti untuk mencapai amalan yang diperlukan.
Analisis ciri utama Pensijilan Model Kematangan Cybersecurity
Ciri-ciri utama CMMC termasuk:
-
Tahap Berkelulusan: CMMC terdiri daripada lima peringkat, menyediakan pendekatan berperingkat kepada kematangan keselamatan siber, membolehkan organisasi maju daripada amalan keselamatan asas kepada yang lebih canggih.
-
Penilaian Pihak Ketiga: Penilai pihak ketiga bebas menilai dan mengesahkan pematuhan organisasi dengan keperluan CMMC, meningkatkan kredibiliti dan integriti proses pensijilan.
-
Pensijilan Disesuaikan: Organisasi boleh mencapai pensijilan pada tahap yang sepadan dengan sifat kerja mereka dan sensitiviti maklumat yang mereka kendalikan.
-
Pemantauan Berterusan: CMMC memerlukan penilaian semula yang kerap dan pemantauan berterusan untuk memastikan pematuhan yang berterusan.
Jenis Pensijilan Model Kematangan Cybersecurity
| Tahap | Penerangan |
|---|---|
| Tahap 1 | Kebersihan Siber Asas: Melindungi Maklumat Kontrak Persekutuan (FCI) |
| Tahap 2 | Kebersihan Siber Pertengahan: Langkah peralihan ke arah melindungi Maklumat Tidak Terkelas Terkawal (CUI) |
| Tahap 3 | Kebersihan Siber yang Baik: Melindungi Maklumat Tidak Terperingkat Terkawal (CUI) |
| Tahap 4 | Proaktif: Perlindungan lanjutan CUI dan mengurangkan risiko Ancaman Berterusan Lanjutan (APT) |
| Tahap 5 | Maju/Progresif: Melindungi CUI dan mengendalikan APT |
Cara-cara menggunakan CMMC
-
Kelayakan Kontrak DoD: Untuk mengambil bahagian dalam kontrak DoD, organisasi mesti mencapai tahap CMMC tertentu, bergantung pada sensitiviti data yang terlibat.
-
Keselamatan Rantaian Bekalan: CMMC memastikan bahawa amalan keselamatan siber dilaksanakan secara konsisten merentas rantaian bekalan DoD, melindungi maklumat sensitif daripada kemungkinan pelanggaran.
-
Kelebihan daya saing: Organisasi yang mempunyai tahap CMMC yang lebih tinggi boleh memperoleh kelebihan daya saing dalam membida kontrak pertahanan dengan menunjukkan komitmen mereka terhadap keselamatan siber.
Masalah dan Penyelesaian
-
Cabaran Pelaksanaan: Sesetengah organisasi mungkin bergelut untuk melaksanakan semua amalan yang diperlukan. Melibatkan pakar keselamatan siber dan menjalankan penilaian tetap boleh menangani perkara ini.
-
Intensif Kos dan Sumber: Mencapai tahap CMMC yang lebih tinggi mungkin memerlukan sumber kewangan dan manusia yang ketara. Perancangan dan belanjawan yang betul boleh mengurangkan cabaran ini.
-
Ketersediaan Penilai Pihak Ketiga: Permintaan untuk penilai bertauliah mungkin melebihi bekalan, menyebabkan kelewatan dalam proses pensijilan. Memperluas kumpulan penilai bertauliah boleh membantu menyelesaikan isu ini.
Ciri-ciri utama dan perbandingan lain dengan istilah yang serupa
| Penggal | Penerangan |
|---|---|
| CMMC lwn. NIST CSF | CMMC adalah lebih preskriptif dan memerlukan pensijilan, manakala Rangka Kerja Keselamatan Siber NIST (CSF) adalah sukarela dan menawarkan pendekatan berasaskan risiko. |
| CMMC lwn. ISO 27001 | CMMC memberi tumpuan kepada melindungi CUI untuk industri pertahanan, manakala ISO 27001 ialah piawaian yang lebih luas yang boleh digunakan untuk pelbagai sektor. |
| CMMC lwn DFARS | Walaupun CMMC melengkapkan Tambahan Peraturan Pemerolehan Persekutuan Pertahanan (DFARS), DFARS sendiri tidak menyediakan keperluan pensijilan. |
Memandangkan ancaman siber terus berkembang, CMMC berkemungkinan menyesuaikan dan menyepadukan teknologi baru muncul. Beberapa perkembangan masa depan yang berpotensi termasuk:
-
Keselamatan Siber dipacu AI: Penyepaduan kecerdasan buatan dan pembelajaran mesin untuk meningkatkan pengesanan ancaman dan keupayaan tindak balas.
-
Keselamatan Blockchain: Meneroka penggunaan blockchain untuk perkongsian dan pengesahan data selamat dalam rantaian bekalan pertahanan.
-
Kriptografi selamat kuantum: Bersedia untuk era pengkomputeran kuantum dengan mengguna pakai algoritma kriptografi kuantum-selamat.
Cara pelayan proksi boleh digunakan atau dikaitkan dengan Pensijilan Model Kematangan Cybersecurity
Pelayan proksi memainkan peranan penting dalam meningkatkan keselamatan siber dan boleh dikaitkan dengan CMMC dengan cara berikut:
-
Tanpa Nama Dipertingkatkan: Pelayan proksi menawarkan lapisan kerahasiaan tambahan, mengurangkan risiko mendedahkan maklumat sensitif kepada pelakon yang berniat jahat.
-
Penapisan Trafik: Pelayan proksi boleh menapis dan menyekat trafik yang mencurigakan, menghalang potensi ancaman siber daripada mencapai rangkaian organisasi.
-
Kawalan Akses: Pelayan proksi boleh membantu menguatkuasakan kawalan akses, memastikan hanya individu yang diberi kuasa boleh mengakses sumber tertentu.
Pautan berkaitan
Untuk mendapatkan maklumat lanjut tentang Pensijilan Model Kematangan Cybersecurity, lawati sumber berikut:
- Laman web rasmi CMMC: https://www.acq.osd.mil/cmmc/
- Badan Akreditasi CMMC: https://www.cmmcab.org/
- Rangka Kerja Keselamatan Siber NIST: https://www.nist.gov/cyberframework
Sila ambil perhatian bahawa maklumat yang diberikan dalam artikel ini adalah tepat mulai September 2021, dan pembaca digalakkan untuk merujuk pautan yang disediakan untuk mendapatkan kemas kini terkini.
