CMMC 2.0:방위 산업 기반의 중소 제조업체를 위한 필수 가이드

국방산업기지(DIB)의 중소기업(SMM)에게 사이버보안 성숙도 모델 인증(CMMC)은 더 이상 미래의 요구사항이 아닌 표준이 되었습니다.

지난 12월 미국 국방부는 CMMC 2.0을 완성했습니다. , 이를 공식적으로 DoD 계약에 포함시킵니다. 국방 관련 업무를 공급, 하도급 또는 추진할 계획인 경우 이는 귀하에게 영향을 미칩니다.

DIB 내 약 30만개 기업 중 상당 부분이 레벨 2 인증을 획득해야 합니다. CUI(통제된 미분류 정보)를 계속 처리하기 위해.

이것이 긴급한 이유는 다음과 같습니다:

• 구현에는 6개월에서 3년이 걸릴 수 있습니다.
• 비용은 $20,000~$200,000 범위일 수 있습니다. , 복잡성에 따라
• 귀하의 IT 제공업체에는 필요한 사이버 보안 전문 지식이 없을 수 있습니다.
• 인증된 제3자 평가 기관(C3PAO)이 여전히 등장하고 있으며 이것이 바로 생태계가 얼마나 새로운지입니다.

CMMC는 단순한 IT 업그레이드가 아닙니다. 이는 운영 및 문화적 변화입니다.

좋은 소식이요? 혼자서 탐색할 필요는 없습니다. IMEC는 제조업체에게 이 복잡한 프로세스를 안내할 수 있는 위치에 있습니다.

CMMC 프레임워크 이해

CMMC 2.0은 공급망 전반에 걸쳐 민감한 국방 정보를 보호하기 위한 국방부의 프레임워크입니다.

이해해야 할 핵심 용어는 CUI(통제된 미분류 정보)입니다. , 보호가 필요하지만 기밀로 분류되지 않는 민감한 정부 데이터입니다.

CMMC 2.0은 세 가지 레벨로 구성됩니다:

• 레벨 1 – 기초: 기본적인 사이버 보안 위생
• 레벨 2 – 고급: NIST SP 800-171 준수(CUI를 처리하는 제조업체의 가장 일반적인 요구 사항)
• 레벨 3 – 전문가: 우선순위가 높은 프로그램을 위한 고급 보호

DIB를 지원하는 대부분의 SMM은 레벨 2를 충족해야 합니다. .

어떤 수준이 필요한지 어떻게 알 수 있나요?

계약서와 고객 커뮤니케이션을 검토하는 것부터 시작하세요. 다음 항목에 CMMC 언어가 포함되어 있습니까?

• 프라임 계약?
• 고객의 흐름 요구 사항은 무엇입니까?
• NIST 800-171 또는 CMMC 레벨 2를 참조하는 제안을 요청하시나요?

그렇다면 지금부터 준비를 시작해야 합니다.

CMMC 관련 작업을 나머지 작업과 분리할 수 있는지 여부도 고려할 수 있습니다. 경우에 따라 CUI 워크플로를 다른 비즈니스 시스템과 분리하면 범위와 비용이 줄어들 수 있습니다.

공식 인증 업데이트 및 공인 평가자를 확인하려면 CMMC의 공인 인증 기관인 The Cyber AB를 방문하세요.

필요한 리소스 결정

CMMC에 대한 가장 큰 오해 중 하나는 그것이 'IT 프로젝트'라는 것입니다.

그렇지 않습니다.

CMMC는 다음과 같은 조직의 약속입니다:

• 경영진 리더십
• 인사
• 작업
• 공학
• 구매
• 판매
• IT

최고 경영진은 궁극적인 책임을 갖고 있지만, 성공적인 구현을 위해서는 부서 간 참여가 필요합니다.

내부 전문성과 외부 전문성

대부분의 소규모 제조업체에는 사내 사이버 보안 전문가가 없습니다. 많은 기업이 관리형 서비스 제공업체(MSP)와 협력하고 있지만 다음 사항을 이해하는 것이 중요합니다.

IT 지원과 사이버 보안은 시너지 효과를 발휘하지만 동일하지는 않습니다.

다음이 필요할 수 있습니다:

• MSSP(관리형 보안 서비스 제공업체)
• CMMC 컨설턴트
• 등록 의료인(RP)
• 사이버 보안 주제 전문가(SME)

추가 비용 고려사항은 다음과 같습니다:

• 사이버 보험 업데이트
• 시스템 업그레이드
• 보안 소프트웨어 및 모니터링 도구
• 직원 교육
• 문서 개발

그리고 아마도 가장 중요한 것은 시간입니다. 리더십은 지속적인 발전을 위해 충분한 시간과 자원을 할당해야 합니다.

격차 분석 수행 및 SPRS 점수 문서화

통제를 구현하기 전에 현재 위치를 이해해야 합니다.

격차 분석은 기존 사이버 보안 상태를 대상 CMMC 수준(일반적으로 NIST SP 800-171)에 필요한 제어와 비교합니다. 레벨 2의 경우.

많은 조직이 자신의 준비 상태를 과대평가합니다. 체계화된 자체 평가를 통해 간과된 취약점이 드러나는 경우가 많습니다.

주요 단계는 다음과 같습니다:

• 현재 정책, 프로세스, 기술 통제 평가
• NIST 800-171에 대한 규정 준수 점수를 매기세요
• 공급업체 성과 위험 시스템(SPRS)에 점수를 입력하세요.
• 문서화 및 기술 보호 조치의 결함 식별

내부 전문 지식이 제한적인 경우 외부 SME가 보다 객관적이고 정확한 기준 평가를 제공할 수 있습니다.

SPRS 점수는 DoD에 공개되므로 정확성이 중요합니다.

계획, 구현, 모니터링 및 인증

격차가 확인되면 실제 작업이 시작됩니다.

구현은 명확한 소유권과 일정이 포함된 구조화된 실행 계획을 따라야 합니다.

제어 구현 우선순위

다음과 같이 영향력이 큰 영역에 먼저 집중하십시오.

• 물리적 보호: 시설 보호 및 CUI에 대한 물리적 접근 제한
• 다단계 인증(MFA)
• 민감한 데이터 암호화
• 엔드포인트 탐지 및 보호
• 접근 제어 관리

CUI 흐름 식별 및 매핑

CUI가 시스템에 들어오고, 이동하고, 나가는 방법을 문서화하세요.

가능하다면 CUI 관련 워크플로를 더 넓은 회사 시스템에서 분리하여 범위와 복잡성을 최소화하세요.

핵심 문서 개발

두 가지 중요한 문서는 다음과 같습니다:

• 시스템 보안 계획(SSP): 보안 통제가 어떻게 구현되고 관리되는지 자세히 설명합니다.
• 실행 계획 및 마일스톤(POA&M): 규정 준수 공백을 식별하고, 책임을 할당하고, 수정 일정을 간략하게 설명합니다.

또한:

• 필수 사이버 보안 정책 수립 및 게시
• 조직 전체의 사이버 보안 인식 교육 실시
• CUI를 담당하는 직원을 위한 추가 교육 제공
• 규정 준수 및 새로운 위험에 대해 시스템을 지속적으로 모니터링

인증:C3PAO 참여

레벨 2 인증을 받으려면 많은 기업에서 공인 제3자 평가 기관(C3PAO)의 평가를 받아야 합니다. .

C3PAO는 사이버 보안 생태계의 새로운 부분으로, 새로운 CMMC가 여전히 얼마나 새로운지를 상기시켜줍니다. 평가자의 가용성이 제한될 수 있으므로 조기 계획이 중요합니다.

지금 이것이 중요한 이유

CMMC는 이론적 요구 사항이 아닙니다. 오늘날 계약 용어에 포함되고 있습니다.

계약서에 인증 증빙이 필요할 때까지 기다리면 회사가 혼란을 겪거나 자격을 잃게 될 수 있습니다.

국방 공급망 서비스를 제공하는 제조업체의 경우 CMMC 규정 준수는 선택 사항이 아닙니다. 입장료입니다.

IMEC가 도움을 줄 수 있는 방법

IMEC는 방위 산업 기지 내 제조 운영과 사이버 보안 기대치를 모두 이해하고 있습니다.

우리는 제조업체를 돕습니다:

• 계약 요구사항 해석
• 격차 평가 실시
• 현실적인 구현 로드맵 개발
• 적격한 사이버 보안 리소스와 연결
• C3PAO 평가 준비

CMMC는 부담감을 느낄 수 있습니다. 올바른 지침을 따르면 관리가 용이해지고 전략적으로 이익이 됩니다.

사이버 보안은 더 이상 규정 준수에만 국한되지 않습니다. 이는 방위산업 시장에서 귀하의 비즈니스, 고객 및 미래를 보호하는 것입니다.

CMMC 준비를 위한 첫 번째 단계

CMMC 구현에는 시간이 걸리며 계약서에 나타날 때까지 기다리면 방어 작업이 위험해질 수 있습니다.

귀하의 비즈니스에 어떤 수준이 적용되는지, CUI를 다루고 있는지 또는 실제로 얼마나 준비되어 있는지 확실하지 않다면 지금이 알아보아야 할 때입니다.

IMEC는 귀하의 현재 상태를 평가하고, 요구 사항을 명확히 하며, 인증을 위한 실용적인 로드맵을 구축하는 데 도움을 드릴 수 있습니다.

지금 IMEC와 연결하여 CMMC 준비 논의 일정을 잡고 국방 공급망에서 귀사의 위치를 보호하세요.