Departemen Pertahanan (DoD) Amerika Serikat saat ini mewajibkan semua kontraktor dan subkontraktor pertahanan yang tercakup untuk menerapkan kontrol keamanan sebagaimana dijelaskan dalam NIST SP 800-171. Persyaratan ini dirancang untuk melindungi Federal Contract Information (FCI) dan Controlled Unclassified Information (CUI) sebagai bagian dari entitas yang tercakup dalam komitmen kontrak DFARS 252.204-7012.
Untuk memformalkan persyaratan ini dan menyediakan sarana bagi Departemen Pertahanan guna memverifikasi kepatuhan terhadap NIST SP 800-171, program Cybersecurity Maturity Model Certification (CMMC) telah dikembangkan oleh Departemen Pertahanan. Semua kontraktor Departemen Pertahanan yang memiliki kontrak dengan klausa DFARS 252.204-7012 harus mencapai level CMMC yang disebutkan dalam kontrak Departemen Pertahanan guna memenuhi syarat pemberian kontrak ketika peraturan tersebut sudah final.
Latar Belakang CMMC 2.0
Pada 26 Desember 2023, Departemen Pertahanan merilis Usulan Peraturan untuk mendapatkan komentar publik. Periode pemberian komentar dibuka selama 60 hari, lalu akan ditinjau oleh pembuat peraturan untuk publikasi peraturan final. Dalam rentang waktu ini, analis industri memperkirakan publikasi peraturan final akan dilakukan pada awal tahun 2025, dengan pemberian sertifikasi CMCC kepada kontraktor tahap pertama setelah publikasi. Tanggal dapat berubah, berdasarkan rentang waktu pengambilan keputusan oleh pemerintah.
CMMC dan Google Cloud
CMMC 2.0 memiliki tiga level yang tersedia untuk dicapai organisasi, bergantung pada persyaratan Departemen Pertahanan. Meskipun organisasi tidak dapat memperoleh penilaian CMCC resmi hingga peraturan final dipublikasikan, Google Cloud sedang menyiapkan CMMC Level 2 yang dapat diikuti organisasi, dan prosesnya dilakukan dengan melakukan penilaian fiktif melalui C3PAO khusus kami yang mendukung proses otorisasi FedRAMP untuk layanan Google Cloud dan Google Workspace. Setelah CMMC 2.0 mencapai tahap final, Google akan melanjutkan proses sertifikasi formal seperti yang telah ditetapkan untuk Penyedia Layanan Cloud (CSP).
Meskipun belum ada organisasi yang menerima sertifikasi CMMC hingga saat ini, Google telah berupaya melakukan penilaian NIST SP 800-171 untuk membantu mempersiapkan diri menghadapi program CMMC 2.0. Laporan penilaian ini dapat ditemukan di halaman NIST SP 800-171 kami.
Dalam draf CMMC saat ini, kontraktor yang menggunakan solusi cloud untuk menyimpan CUI harus menggunakan CSP yang setidaknya mempertahankan otorisasi FedRAMP Moderate. Untuk membantu menyiapkan CMMC, kontraktor Defense Industrial Base (DIB) yang menggunakan layanan Google Cloud harus merujuk ke Customer Responsibility Matrix (CRM) FedRAMP yang merupakan bagian dari Rencana Keamanan Sistem (SSP) FedRAMP guna memahami model tanggung jawab bersama terkait antisipasi kepatuhan CMMC. Tim penjualan kami atau perwakilan Google Cloud Anda siap menjawab pertanyaan Anda dan menyediakan dokumentasi referensi.
Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.