分拆CMMC及“CyberArk”如何协助合规工作

2021年11月16日, Justyna Kucharczak

分解CMMC

随着移动劳动力和云服务的使用继续激增, 各组织正在努力提供安全保障, 授权获取他们最敏感的信息同时不让不法之徒染指.

这一网络安全挑战对于为美国提供网络安全服务的30万家公司来说更为突出.S. 美国国防部(DoD),因为窃取信息可能会损害美国.S. 破坏技术优势,甚至威胁国家安全. 这些组织需要确切地知道谁在访问和共享机密数据, 同时平衡可用性和安全性. 而他们有效做到这一点的能力正是网络安全成熟度模型认证所具备的, 或CMMC, 旨在衡量.

以下是CMMC目前的简要分析,以及它的重要性. 需要注意的是,国防部目前正在对项目结构和要求进行一些更改, 所以请密切关注其他更新. 在这篇文章中, 您还将探讨CyberArk如何帮助组织实现特权和管理身份的基本安全控制,以满足当前的CMMC需求.

什么是CMMC?

CMMC是一个从多个安全框架详细介绍网络安全最佳实践和流程的模型, 包括美国国家标准与技术研究所(NIST)的标准. 它的建立是为了保护在整个国防工业基地(DIB)和国防部供应链中传播的两种关键的非机密信息:

  1. 联邦合同信息 (FCI):“由政府根据合同提供或为政府生成的不打算公开发布的信息,由国防部定义的.
  2. 控制非保密信息 崔天凯:“需要依据并符合法律保护传播控制的信息, 法规和政府范围内的政策,由国防部定义的.

为什么CMMC如此重要?

CMMC代表了从自我认证向正式认证的重大转变,由经批准的评估人员对组织进行分析,并根据其网络安全计划的状态分配成熟度级别. 任何希望参与国防部供应链的组织都必须在某种程度上遵守CMMC要求.

CMMC包含了什么?

CMMC包括17个领域,分为5个成熟度等级和171个网络安全最佳实践(75个技术控制和96个非技术控制), 与一组功能保持一致. 这种崩溃使组织内部的网络安全活动形式化, 所以它们既一致又可重复. CMMC提供了一个认证,以确保组织实现这些必需的过程和实践. 符合认证要求, 组织必须满足一组累积的过程和实践. 换句话说, 进入下一个认证阶段, 一个组织首先必须在较低的层次上证明对过程和实践的熟练程度.

CMMC适用于谁?

所有国防部国防承包商, 包括主承包商和分包商, 处理CUI/FCI数据的商用现货(COTS)技术是超出范围的,除非系统管理, 商店, 传输, 收集, 发布和/或支持某些容量的CUI/FCI数据.

DIB承包商可以为整个企业或仅为企业的一个或多个部门寻求CMMC认证, 这取决于他们存储信息的位置和安全程度. 为了有资格获得认证,组织必须提供过程制度化的证明. 他们还必须表明他们已经实现了支持这些过程的实践.

CMMC的五个级别是什么?

CMMC域映射到五个安全控制级别,如下所示. 要达到第一级, 组织必须遵循一组已定义的实践, 包括实施涵盖基本网络卫生基础的10项具体技术安全控制措施. 达到三级或以上, 组织必须证明过程的成熟度,并提供文档化的证据. 达到最高级别的信息保护(5级), 组织必须在包括风险管理在内的各个领域实施总共75项技术控制, 访问控制,识别和认证. 他们还必须演示如何在整个组织中对这些实践进行标准化.

CMMC 5级安全控制

“数码方舟”如何支援机构达到“CMMC”标准?

“数码方舟”身份安全平台 帮助联邦政府机构满足当今具有挑战性的安全和合规要求. 正规博十大app排名的工具集-包括美国国防部UC认证 CyberArk特权接达管理器 -通过以下方式为组织提供了一个遵循CMMC的跳板:

  • 基于定义的角色的策略实施和审计跟踪
  • 与许多其他工具集成,形成整体访问解决方案
  • 专业的服务和培训可以帮助CMMC计划进一步成熟
  • 强健的CyberArk合作伙伴网络
  • 与组织所具备的集成
  • 处理风险管理的能力, 域管理, 防火墙, 脆弱性管理, 凭据和端点管理

“CyberArk”可处理哪些CMMC技术管制?

在总, CMMC有75项技术控制(96项非技术控制是管理任务的混合), 政策和程序).

CyberArk的解决方案令人满意 41项技术控制 CMMC水平所需的. 通过与正规博十大app排名的合作伙伴网络提供的其他安全工具集成, CyberArk可以帮助组织满足剩余的需求 34技术控制.

在迈向CMMC符合性的旅程中, CyberArk可以帮助您的组织有效地满足流程和实践要求,通过全面的身份安全控制来保护信息. 访问这里 ,以详细分析“数码方舟”如何支援符合CMMC的规定. 您将发现映射到每个CMMC级别的单个需求的粗略视图, 所提供的具体支持类型,以及解决方案是直接通过CyberArk解决方案提供,还是由第三方合作伙伴参与.

前一篇文章
什么是SASE,它与零信任有什么关系?
什么是SASE,它与零信任有什么关系?

使用本地数据中心的日子, 好吧, 企业IT世界的中心, 是f...

下一篇文章
一个100年的植物病害揭示了端点特权安全
一个100年的植物病害揭示了端点特权安全

在20世纪初, 一种鲜为人知的植物病害——白松水疱锈病出现在...

Gartner将CyberArk列为PAM 2021年魔术象限的领导者

立即下载