คู่มือการรับรอง CMMC และทุกสิ่งที่ผู้รับเหมา DoD ควรรู้
บทความนี้อธิบายสิ่งที่ผู้รับเหมา DoD (กระทรวงกลาโหม) จำเป็นต้องรู้เกี่ยวกับการรับรอง CMMC และวิธีบรรลุผล
กระทรวงกลาโหมสหพันธรัฐเป็นหนึ่งในภาคส่วนหลักที่ดูแลความมั่นคงของชาติตลอดจนปกป้องบุคคลที่เป็นส่วนหนึ่งของกองกำลังติดอาวุธ สำหรับผู้รับเหมาทั้งหมดในฐานอุตสาหกรรมการป้องกันประเทศหรือ DIB การรักษาความปลอดภัยเป็นสิ่งสำคัญที่จะช่วยให้พวกเขาหลีกเลี่ยงการขโมยทรัพย์สินทางปัญญา หรือการละเมิดข้อมูลที่เป็นความลับใดๆ ที่เกี่ยวข้องกับการป้องกันประเทศหรือการคุ้มครองสาธารณะ การรับรองรับจดทะเบียนบริษัท CMMC ซึ่งย่อมาจาก Cybersecurity Maturity Model Certification ช่วยให้องค์กรและผู้รับเหมาในซัพพลายเชนด้านการป้องกันประเทศมีการควบคุมและแนวปฏิบัติด้านความปลอดภัยที่เพียงพอเพื่อให้เป็นไปตามมาตรฐานความปลอดภัยของกระทรวงกลาโหมแห่งชาติ
ทำไม CMMC จึงมีความจำเป็น?
CMMC เป็นใบรับรองที่เพิ่งเปิดตัวสำหรับการควบคุมความปลอดภัยของผู้รับเหมา DoD อย่างไรก็ตาม มีการรับรองตนเองประเภทหนึ่งที่ยอมรับก่อนหน้านี้ ก่อนหน้านี้พวกเขาจำเป็นต้องรับรองนโยบายความปลอดภัยหรือการควบคุมด้วยตนเองด้วย Defense Federal Acquisition Regulations (DFARS) แทนที่จะบรรลุการปฏิบัติตามหรือการตรวจสอบจากบุคคลที่สาม พวกเขาไม่เคยต้องแสดงหลักฐานหรือเอกสารใด ๆ ที่พิสูจน์ว่าพวกเขาปฏิบัติตามแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด เป็นผลให้มีช่องว่างด้านความปลอดภัยในผู้รับเหมาบางรายที่ยังไม่มีใครสังเกตเห็นและยังคงมีอยู่ในผลิตภัณฑ์หรือบริการของตน ปฏิเสธไม่ได้ว่านี่เป็นสาเหตุหลักของการละเมิดข้อมูล การโจรกรรม หรือการหยุดชะงักในห่วงโซ่อุปทานอุตสาหกรรมการป้องกันประเทศ
มีเหตุผลมากมายว่าทำไมการรับรอง CMMC จึงถูกนำมาใช้ในภายหลังโดยกระทรวงกลาโหมสหรัฐ กำหนดให้องค์กรใดๆ ที่มีสัญญากับกระทรวงกลาโหมตรวจสอบแนวทางปฏิบัติด้านการคุ้มครองหรือความปลอดภัยสำหรับ CUI (ข้อมูลที่ไม่จัดประเภท) ที่มีลักษณะของรัฐบาลกลางกับหน่วยงานประเมินหรือหน่วยงานด้านการปฏิบัติตามกฎระเบียบของบุคคลที่สาม
ประโยชน์ของ CMMC
การได้รับการรับรองทำให้มั่นใจได้ว่าผู้รับเหมา DoD ทุกคนมีประโยชน์หลายประการ ได้แก่ :
• ช่วยให้พวกเขาปกป้องข้อมูลที่เป็นความลับจากความเสี่ยงด้านความปลอดภัยในปัจจุบันและที่อาจเกิดขึ้น
• ตรวจสอบว่าพวกเขามีนโยบายที่เข้มงวดที่สุดในการปกป้อง CUI หรือข้อมูลที่ไม่จัดประเภทที่อยู่ภายในเครือข่าย DIB และระบบการจัดการข้อมูล
• ให้ความมั่นใจแก่การควบคุมความปลอดภัยของผู้รับเหมากับหน่วยงานบุคคลที่สามซึ่งเป็นอิสระและให้มุมมองที่เป็นกลาง
• ช่วยสร้างการควบคุมความปลอดภัยและระดับการปฏิบัติตามตามขอบเขตความเสี่ยง
• รับรองการควบคุมความปลอดภัยด้วยค่าใช้จ่ายที่จัดการได้มากขึ้นสำหรับรัฐบาลกลาง
ขั้นตอนในการบรรลุการรับรอง CMMC
แม้ว่าการรับใบรับรอง CMMC จะเป็นกระบวนการที่ใช้เวลานานและอาจใช้เวลาหลายเดือน ผู้รับเหมาไม่จำเป็นต้องรอเพื่อเริ่มขั้นตอนการรับรอง ตั้งแต่การจัดทำเอกสารนโยบายความปลอดภัยทางไซเบอร์ไปจนถึงการนำแนวทางปฏิบัติไปใช้ ตั้งแต่การกำหนดระดับสุขอนามัยในโลกไซเบอร์ไปจนถึงการประเมินความเสี่ยงด้านความปลอดภัย มีหลายสิ่งที่ต้องวางแผนและดำเนินการก่อนที่จะบรรลุการปฏิบัติตามข้อกำหนด CMMC
ต่อไปนี้คือขั้นตอนการเตรียมการที่จำเป็นเพื่อให้บรรลุการปฏิบัติตาม CMMC โดยไม่ชักช้า
1. กำหนดระดับ CMMC ที่เหมาะสมที่องค์กรของคุณต้องบรรลุโดยการตรวจสอบข้อกำหนดด้านความปลอดภัยตามประเภทข้อมูลที่คุณจัดการและความเสี่ยงที่เกี่ยวข้อง
2. เตรียมงบประมาณเพื่อให้บรรลุการปฏิบัติตามซึ่งรวมถึงค่าใช้จ่ายในการดำเนินการเปลี่ยนแปลงความปลอดภัยใหม่ อัปเดตนโยบายที่มีอยู่ ใช้ประโยชน์จากซอฟต์แวร์หรือแอปพลิเคชันความปลอดภัย การแต่งตั้งหน่วยงานประเมินบุคคลที่สาม และค่าใช้จ่ายเพิ่มเติมอื่นๆ
3. ประเมินและประเมินเฟรมเวิร์กการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันของคุณเทียบกับการควบคุมที่จำเป็นเพื่อให้ได้ระดับ CMMC ที่เหมาะสม
4. เตรียมแผนปฏิบัติการตลอดจนเหตุการณ์สำคัญเพื่อให้แน่ใจว่าคุณมีแนวทางที่ราบรื่นในการปฏิบัติตามการจัดทรัพยากรและเวลาอย่างเหมาะสม
5. เกณฑ์ผู้ประเมินอิสระที่เป็นบุคคลที่สามที่เชื่อถือได้ซึ่งสามารถกำหนดความพร้อมในการรับรองขององค์กรของคุณได้
6. รับทราบข้อมูลล่าสุดเกี่ยวกับการพัฒนาล่าสุดของการรับรองเพื่อรักษาการรับรองของคุณ
เมื่อทำตามขั้นตอนเหล่านี้เสร็จสิ้น องค์กรของคุณจะได้รับใบรับรอง CMMC ในครั้งแรก อย่างไรก็ตาม CMMC ยังคงอยู่ระหว่างการพัฒนา ดังนั้นคุณจำเป็นต้องเข้าใจข้อกำหนดที่เปลี่ยนแปลงตลอดเวลา ขอคำแนะนำจากที่ปรึกษาด้านการปฏิบัติตามข้อกำหนด Health Fitness Articles แล้วอัปเดตการควบคุมหรือกรอบงานการรักษาความปลอดภัยทางไซเบอร์ขององค์กรของคุณ
Article Tags: ใบรับรอง Cmmc, กระทรวงกลาโหม, การควบคุมความปลอดภัย