X

CMMC (Cybersecurity Maturity Model Certification)

1. CMMC의 개요

(1) CMMC(Cybersecurity Maturity Model Certification)의 개념

  • 사이버 공격으로부터 민감 정보를 보호하기 위한 수준 별 사이버 보안 성숙도 측정 모델 (인증 정책)

(2) CMMC의 특징

계층화 모델 민감도에 따라 수준 별 사이버보안 표준 구현 요구
평가 요구사항 명확한 사이버 보안 표준 충족 여부 평가
계약 기반 구현 계약 체결을 조건으로 특정 CMMC 수준 달성
  • 2021.12 미국방부에서 CMMC 2.0 발표,  2025년 모든 사업에 CMMC 인증 요구 예정으로 산업계에도 CMMC 인증 필요

 

2. CMMC 모델과 수준 별 평가기준

(1) CMMC 모델

  • CMMC 2.0은 1.0과 비교하여 수준 간소화, NIST 표준, 제3자 평가, 제한된 상황 요구사항 면제 적용

(2) CMMC 수준 별 평가기준 (CMMC 2.0 기준)

수준 평가기준 평가 주체
Level 1 (Foundational) FAR Clause 52.204 및 NIST SP 800-171 자체 평가
Level 2 (Advanced) NIST SP 800-171 자체 및 제3자 평가
Level 3 (Expert) NIST SP 800-171 및 800-172 제3자 평가
  • CMMC 평가 영역(도메인)은 Access Control 등 14개 도메인으로, Level 1은 AC, IA, MP, PE, SC, CI 도메인에 대해 평가하고 Level 2 이상은 전체 도메인 대상 평가

 

3. CMMC 평가 영역(도메인) 및 수준 별 평가항목

도메인 Level 1 평가항목 Level 2 평가항목 Level 3
AC 인증된 접근 통제 등 4개 미분류 정보 흐름 통제 등 18개 개발중
AT N/A 역할 기반 위험 인식 등 3개 개발중
AU N/A 시스템 감사 등 9개 개발중
CM N/A 시스템 기준 설정 등 9개 개발중
IA 정보 시스템 사용자 식별 등 2개 다단계 인증 등 9개 개발중
IR N/A 사고 처리 등 3개 개발중
MA N/A 유지보수 수행 등 6개 개발중
MP 미디어 폐기 1개 미디어 보호 등 8개 개발중
PS N/A 미분류 정보 선별 접근 등 2개 개발중
PE 물리적 접근 제한 등 4개 시설 모니터링 등 2개 개발중
RA N/A 위험 평가 등 3개 개발중
CA N/A 보안 통제 평가 등 4개 개발중
SC 내/외부 경계 보호 등 2개 SW 보안 공학 등 14개 개발중
SI 결함 수정 등 4개 보안 경고/권고 등 3개 개발중
  • CMMC 프로그램은 미 국방부에서 제정하였지만 산업계에도 동일하게 적용되므로 산업계 표준이 될 가능성이 높아 CMMC 동향 파악 및 표준 준수 필요

 
[도메인 약어 정리]

  • ACCESS CONTROL(AC)
  • AWARENESS AND TRAINING (AT)
  • AUDIT AND ACCOUNTABILITY (AU)
  • CONFIGURATION MANAGEMENT (CM)
  • IDENTIFICATION AND AUTHENTICATION (IA)
  • INCIDENT RESPONSE (IR)
  • MAINTENANCE (MA)
  • MEDIA PROTECTION (MP)
  • PERSONNEL SECURITY (PS)
  • PHYSICAL PROTECTION (PE)
  • RISK ASSESSMENT (RA)
  • SECURITY ASSESSMENT (CA)
  • SYSTEM AND COMMUNICATIONS PROTECTION (SC)
  • SYSTEM AND INFORMATION INTEGRITY (SI)

 
[참고]

Categories: 보안
도리: