由于尘埃仍在最近的CMMC 2周围沉降.发布时,我们正在回答一些常见的问题. 学习更多在这里!
尘埃还在新房子上 CMMC释放,正式名称为CMMC 2.和任何新的CMMC相关公告一样,我们都有问题. 下面是一些最简单的答案, 幸运的是,最重要的问题来自于一个实际的洞察力.
在进入问题之前,这里有一个CMMC 1之间的比较图表.0和2.0.
|
CMMC 1.0 |
CMMC 2.0 |
||
|
网络卫生水平 |
认证方法要求 |
网络卫生水平 |
认证方法要求 |
|
5级-高级 |
CMMC第三方评估机构(C3PAO)认证 |
三级-专家 |
国防部认证 |
|
四级-主动 |
|||
|
三级-良好 |
二级-高级 |
C3PAO认证 |
|
|
二级-中级 |
自我评估 |
||
积极主动似乎是正确的做法, 我是否因为规章制度的改变而浪费了时间和金钱?
不,只要你还没有通过合规认证. 如果你对你的CMMC有信心.0级,那么你知道你的CMMC 2.0级. 需求没有改变,只是级别号改变了. 然而, 目前还在讨论是否会增加额外的要求, 但似乎不会减少.
所有认证前的准备与CMMC 1相同.0和CMMC 2.0. 任何缺口或准备评估, 信息收集, 和补救对于两个CMMC版本是相同的. 真正的区别是,一个人可能有资格进行自我评估,而不需要C3PAO认证.
我如何知道自我评估是否符合我们组织的CMMC要求?
像CMMC 1.0, rfp和合同将规定需求. 级别1的组织可以执行自我评估. 不接触对国家安全至关重要的信息的第2级组织也可以进行自我评估. 对于那些接触到对国家安全至关重要的信息的二级组织, 需要C3PAO认证.
CMMC 2.0更改了遵从性时间线?
时间线与CMMC 1.0从来都不是决定性的. CMMC 2.2021年11月零号公告提供了9至24个月的时间来完成规则制定过程. 一旦规则制定过程完成,rfp和合同将对它们有CMMC级别的要求. 有迹象表明,国防部希望鼓励承包商尽早做好准备.
这意味着什么?
好消息是,许多希望支付C3PAO认证费用的组织将无需这样做. 即使没有时间或资源进行自我评估, 利用第三方协助进行自我评估将比通过C3PAO认证过程更便宜. 自我评估所涉及的责任和风险更小, 哪些允许第三方协助准备就绪评估, 修复, 以及持续的评估支持. 如果您的组织符合自我评估需求,那么现在获得帮助甚至更容易.
探索其他 IT审计和合规巴黎人官方 我们提供.