CMMC (Cybersecurity Maturity Model Certification)

1. CMMC의 개요

(1) CMMC(Cybersecurity Maturity Model Certification)의 개념

  • 사이버 공격으로부터 민감 정보를 보호하기 위한 수준 별 사이버 보안 성숙도 측정 모델 (인증 정책)

(2) CMMC의 특징

계층화 모델민감도에 따라 수준 별 사이버보안 표준 구현 요구
평가 요구사항명확한 사이버 보안 표준 충족 여부 평가
계약 기반 구현계약 체결을 조건으로 특정 CMMC 수준 달성
  • 2021.12 미국방부에서 CMMC 2.0 발표,  2025년 모든 사업에 CMMC 인증 요구 예정으로 산업계에도 CMMC 인증 필요

 

2. CMMC 모델과 수준 별 평가기준

(1) CMMC 모델

  • CMMC 2.0은 1.0과 비교하여 수준 간소화, NIST 표준, 제3자 평가, 제한된 상황 요구사항 면제 적용 

(2) CMMC 수준 별 평가기준 (CMMC 2.0 기준)

수준평가기준평가 주체
Level 1 (Foundational)FAR Clause 52.204 및 NIST SP 800-171자체 평가
Level 2 (Advanced)NIST SP 800-171자체 및 제3자 평가
Level 3 (Expert)NIST SP 800-171 및 800-172제3자 평가
  • CMMC 평가 영역(도메인)은 Access Control 등 14개 도메인으로, Level 1은 AC, IA, MP, PE, SC, CI 도메인에 대해 평가하고 Level 2 이상은 전체 도메인 대상 평가

 

3. CMMC 평가 영역(도메인) 및 수준 별 평가항목

도메인Level 1 평가항목Level 2 평가항목Level 3
AC인증된 접근 통제 등 4개미분류 정보 흐름 통제 등 18개개발중
ATN/A역할 기반 위험 인식 등 3개개발중
AUN/A시스템 감사 등 9개개발중
CMN/A시스템 기준 설정 등 9개개발중
IA정보 시스템 사용자 식별 등 2개다단계 인증 등 9개개발중
IRN/A사고 처리 등 3개개발중
MAN/A유지보수 수행 등 6개개발중
MP미디어 폐기 1개미디어 보호 등 8개개발중
PSN/A미분류 정보 선별 접근 등 2개개발중
PE물리적 접근 제한 등 4개시설 모니터링 등 2개개발중
RAN/A위험 평가 등 3개개발중
CAN/A보안 통제 평가 등 4개개발중
SC내/외부 경계 보호 등 2개SW 보안 공학 등 14개개발중
SI결함 수정 등 4개보안 경고/권고 등 3개개발중
  • CMMC 프로그램은 미 국방부에서 제정하였지만 산업계에도 동일하게 적용되므로 산업계 표준이 될 가능성이 높아 CMMC 동향 파악 및 표준 준수 필요

 
[도메인 약어 정리]

  • ACCESS CONTROL(AC)
  • AWARENESS AND TRAINING (AT)
  • AUDIT AND ACCOUNTABILITY (AU)
  • CONFIGURATION MANAGEMENT (CM)
  • IDENTIFICATION AND AUTHENTICATION (IA)
  • INCIDENT RESPONSE (IR)
  • MAINTENANCE (MA)
  • MEDIA PROTECTION (MP)
  • PERSONNEL SECURITY (PS)
  • PHYSICAL PROTECTION (PE)
  • RISK ASSESSMENT (RA)
  • SECURITY ASSESSMENT (CA)
  • SYSTEM AND COMMUNICATIONS PROTECTION (SC)
  • SYSTEM AND INFORMATION INTEGRITY (SI)

 
[참고]

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^