본문 바로가기
Interests/Cybersecurity

DoD Cybersecurity Maturity Model Certification(CMMC)

by Joy L. 2020. 3. 28.
반응형

 

[2020/03/28 업데이트]
v1.02 공개.
공식 자료 링크: https://www.acq.osd.mil/cmmc/draft.html

DoD Cybersecurity Maturity Model Certification(CMMC)은 2020년 1월에 최초로 Public 공개 된 새로운 인증 체계입니다.
CMMC 공식 홈페이지에 의하면 2020년 6월부터 해당 인증이 DoD의 RFP 등에서 요구될 수 있으며, 계약 업체 선정에 중요한 역할을 할 것으로 보입니다.
새로운 인증인 만큼, 인증 금액 등 자세한 사항은 아직 결정되지 않은 상태입니다.

[요약문]

  • 보안 성숙도를 평가하는 모델로, NIST SP 800-171, NIST SP 800-53, ISO 27001 등 사이버보안 기준을 기반으로 회사의 Compliance를 평가.
    다양한 보안기준을 하나의 모델로 합치고자 하는 목적도 있음.
    (타 보안기준에 대한 매핑 표는 공식 CMMC Model Appendix E 참고.)
    링크: https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Appendices_20200203.pdf
  • 2020년 1월 31일 CMMC Model v1.0 첫 Public 공개. (https://www.acq.osd.mil/cmmc/draft.html)
    2020년 6월 부터 각종 요구사항(RFP 등)을 통해 요구될 수 있음. CMMC 인증을 받지 않는 경우, CMMC가 필수로 요구되는 계약 건에 참여할 수 없게 됨.
  • 인증 체계 구조:
    • 17개의 도메인 존재
    • 각 도메인 내 Processes(5개) 및 Capabilities(43개) 존재
    • Capabilities는 Practices로 이루어져 있음. (Practices 총 171개)
  • 17개 도메인:
  1. Access Control
  2. Asset Management
  3. Audit and Accountability
  4. Awareness and Training
  5. Configuration Management
  6. Identification and Authentication
  7. Incident Response
  8. Maintenance
  9. Media Protection
  10. Personnel Security
  11. Physical Protection
  12. Recovery
  13. Risk Assessment
  14. Security Assessment
  15. Situational Awareness
  16. Systems and Communications Protection
  17. System and Information Integrity

 

  • 5개의 평가 level 존재.
    각 Level 마다 평가에 해당하는 Process 및 Capability가 상이. 상세 내용은 공식 문서 참고.
    링크: https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf
  • 평가는 independent 3rd party assessment organization에서 수행. 단, 특정 high level 평가는 DoD assessor, Defense Contract Management Agency (DCMA) 및 Defense Counterintelligence and Security Agency (DCSA)에서 수행.
  • 기타 사항:
    • 필수 인증 대상: DoD와 비즈니스를 하는 모든 업체. (계약 시 필요한 CMMC level을 정부에서 지정함.)
    • 인증 비용: 미정. 인증 level에 따라 상이할 예정.
    • 인증 유효 기간: 미정
    • 인증 내용 공개여부: 인증 후 Certification level는 Public으로 공개됨. 평가에 대한 상세 내용은 공개되지 않음.
  • CMMC 공식 홈페이지 FAQ 참고: https://www.acq.osd.mil/cmmc/faq.html

반응형
저작자표시 비영리 변경금지

'Interests > Cybersecurity' 카테고리의 다른 글

우크라이나 침공 그리고 언더그라운드 해커 모집  (0) 2022.02.26
IEC 62443-4-2 한글 문서  (0) 2021.01.01
IEC 62443-4-2 공통 요구사항  (0) 2020.10.29
IEC 62443-4-2 개요  (0) 2020.10.29
아까워서 올리는 HITB 이메일 인터뷰 내용  (0) 2020.03.28

관련글

댓글

티스토리툴바