Cybersecurity Maturity Model Certification (CMMC) Amerika Serikat

Departemen Pertahanan (DoD) Amerika Serikat mewajibkan semua kontraktor dan subkontraktor defense industrial base (DIB) untuk menerapkan kontrol keamanan sebagaimana dijelaskan dalam NIST SP 800-171 r2 guna melindungi Controlled Unclassified Information (CUI) sebagaimana dijelaskan dalam DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting. Kontraktor federal (termasuk kontraktor pertahanan) yang menangani Federal Contract Information (FCI) juga harus mematuhi persyaratan keamanan dalam FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems.

Untuk memformalkan dan memverifikasi kepatuhan terhadap NIST SP 800-171 r2, Departemen Pertahanan meluncurkan program CMMC pada 15 Oktober 2024, melalui aturan Program CMMC 32 CFR bagian 170, yang berlaku mulai 16 Desember 2024. Aturan akuisisi yang diusulkan (48 CFR bagian 204) akan mengubah DFARS 252.204-7021 untuk mewajibkan sertifikasi CMMC bagi kontraktor yang tercakup. Setelah final, hal ini akan memberlakukan kepatuhan CMMC ke dalam kontrak Departemen Pertahanan. Google Cloud dan Google Workspace siap mendukung kontraktor dalam memenuhi persyaratan ini.

Apa saja 3 level CMMC?

Program CMMC memiliki tiga level:

Level 1: Perlindungan Dasar FCI

  • Fokus: Melindungi FCI, misalnya, informasi dasar seperti nomor kontrak dan jadwal pengiriman. Level ini dirancang agar lebih mudah dipenuhi oleh organisasi yang lebih kecil, jika organisasi tersebut tidak akan mengelola informasi yang penting bagi keamanan nasional. 
  • Persyaratan: 15 praktik pengamanan cyber dasar, misalnya, mengubah sandi secara rutin dan menggunakan software antivirus.
  • Penilaian: Pemeriksaan mandiri tahunan.
  • Pemberlakuan: Diwajibkan untuk semua kontraktor yang menangani FCI dalam kapasitas tertentu. Level ini merupakan level yang paling umum.

Level 2: Perlindungan Luas terhadap CUI

  • Fokus: Melindungi CUI, misalnya data sensitif yang tunduk pada kontrol pengamanan atau diseminasi. Level ini dirancang untuk melindungi informasi yang sangat penting bagi keamanan nasional.
  • Persyaratan: 110 persyaratan keamanan yang selaras dengan NIST SP 800-171 r2, misalnya, mengelola Rencana Keamanan Sistem (SSP), mengidentifikasi, mencatat, dan memantau aset CUI, serta menerapkan program pemindaian kerentanan untuk mengidentifikasi dan memperbaiki kelemahan keamanan.
  • Penilaian: Didefinisikan oleh kontrak. Beberapa kontrak mungkin memerlukan pemeriksaan mandiri, sementara kontrak lainnya mungkin memerlukan penilaian pihak ketiga oleh Organisasi Penilaian Pihak Ketiga CMMC (C3PAO).
  • Pemberlakuan: Diwajibkan untuk kontraktor yang menangani CUI.

Tingkat 3: Perlindungan CUI tingkat tinggi terhadap ancaman persisten tingkat lanjut

  • Fokus: Melindungi CUI yang sangat sensitif di program penting. Berfokus pada pengamanan tambahan untuk melindungi dari ancaman persisten tingkat lanjut (APT).
  • Persyaratan: Semua persyaratan Level 2, ditambah praktik tambahan dari NIST SP 800-172 untuk keamanan yang lebih baik, misalnya, mengembangkan rencana respons insiden yang komprehensif, menerapkan program Pemantauan Berkelanjutan yang komprehensif, serta menilai dan mengelola risiko keamanan supply chain.
  • Penilaian: Penilaian yang dipimpin pemerintah oleh Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).
  • Pemberlakuan: Diwajibkan untuk kontraktor yang mengerjakan proyek pemerintah yang paling sensitif. Level ini merupakan level yang paling jarang ditemui.
  • Prasyarat: Sebelum kontraktor dapat mengejar CMMC Level 3, mereka harus sudah memiliki CMMC Level 2.

Pada dasarnya, makin tinggi level CMMC, makin sensitif data yang ditangani dan makin ketat persyaratan pengamanan cyber-nya.

Google Cloud dan Google Workspace mendukung CMMC

Anda dapat menggunakan Google Cloud dan Google Workspace untuk memenuhi persyaratan kepatuhan CMMC organisasi Anda di semua tingkat dengan mengandalkan layanan yang diotorisasi FedRAMP High dari Google. Google Cloud dan Google Workspace mempertahankan Authority to Operate (ATO) FedRAMP High untuk layanan dalam cakupan.

Google menyediakan dokumentasi panduan berikut untuk membantu Anda memenuhi persyaratan kepatuhan CMMC:

  • Panduan Penerapan CMMC Google Workspace
  • Panduan Penerapan CMMC Google Cloud

Selain itu, Google menyediakan surat pengesahan berikut yang dibuat oleh organisasi penilaian pihak ketiga yang independen:

  • Surat pengesahan CMMC C3PAO Google Workspace (Google Cloud diharapkan tersedia paling lambat Agustus 2025)
  • Surat pengesahan kepatuhan NIST SP 800-171 Google Cloud dan Google Workspace

Untuk Google Cloud, Anda harus menggunakan Assured Workloads data boundary untuk FedRAMP High dan memanfaatkan Customer Responsibility Matrix (CRM) CMMC saat mengonfigurasi sistem untuk mendukung kepatuhan CMMC. Hubungi tim penjualan Google atau perwakilan Google Cloud Anda untuk mendapatkan dokumentasi apa pun yang dirujuk di atas, seperti CRM.

Untuk Google Workspace, Anda harus menggunakan layanan yang diotorisasi FedRAMP High untuk kepatuhan CMMC, serta Assured Controls Plus untuk mengaktifkan penyimpanan data secara eksklusif di Amerika Serikat. Jika diperlukan, Anda dapat menonaktifkan layanan yang belum mendapatkan otorisasi FedRAMP.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Google Cloud
DokumenDukungan
Konsol
Login
Security
Kecerdasan AncamanSecOpsKeamanan cloudKonsultasiResource keamanan
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
  • Produk Google Cloud
  • Lihat lebih dari 100 produk. Pelanggan baru akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload. Semua pelanggan dapat menggunakan 25 lebih produk secara gratis, hingga batas penggunaan bulanan yang berlaku.
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud