CMMC(Cybersecurity Maturity Model Certification :사이버보안 성숙도 모델 인증)
본문
1. CMMC 도입 배경
▪ 목적: 지적 재산권 보호 및 연방 계약 정보(FCI), 관리 대상 미분류 정보(CUI) 유출 방지.
▪ 대상: 미 국방부와 직접 계약하는 주계약자뿐만 아니라 하청업체까지 포함하는 전체 공급망.
2. CMMC 레벨
1) CMMC 레벨1
▪ 보호 대상 : FCI (Federal Contract Information). (국방부와의 계약 과정에서 생성되는 비공개 정보로, CUI만큼 민감하진 않지만 보호가 필요한 정보)
▪ 요구사항 : 총 17개의 보안 통제 항목(Practices) 준수.
▪ 평가 방식 : 매년 자가 점검(Self-Assessment) 후 결과 제출. (제3자 인증 기관의 현장 실사 없이 기업 스스로 체크)
▪ 책임자 서명 : 기업의 고위 임원이 점검 결과의 정확성을 보증하는 서명을 해야 하며, 허위 보고 시 법적 책임을 질 수 있음.
2) CMMC 레벨2
▪ 보호 대상 : CUI (Controlled Unclassified Information). (군사 기술 도면, 부품 사양서, 공정 정보 등 유출 시 국가 안보에 위해를 줄 수 있는 정보)
▪ 요구사항 : 총 110개 보안 통제 항목 준수.미국 국립표준기술연구소의 NIST SP 800-171 가이드라인과 100% 일치합니다.
▪ 평가방식 : 제3자 인증 (Triennial C3PAO Assessment) _ 대부분의 CUI 취급 업체는 3년마다 공인 인증기관의 현장 실사.
▪ 자가 점검 (Annual Self-Assessment): 일부 비핵심 CUI 취급 업체에 한해 매년 자체 점검 결과를 제출.
3. CMMC 준비 및 인증 절차
▪ 준비(Preparation) -> 갭 분석(Gap Analysis) -> 개선(Remediation) -> 평가(Assessment)의 4단계로 진행
" 미국 CMMC-AB(Cyber AB)로부터 승인을 받아 전문성과 공신력을 인정받은 공인 RPO(Registered Practitioner Organization) 기관인
㈜사이버케이에이비가 귀사의 글로벌 보안 관문을 열어 드립니다."
