美国网络安全成熟度模型认证 (CMMC)

CMMC 计划有三个级别：

第 1 级：对 FCI 的基本保护

• 重点：保护 FCI，例如合同编号和交付时间表等基本信息。此级别旨在让小型组织更容易满足要求，前提是这些组织不会管理对国家安全至关重要的信息。
• 要求：15 项基本网络安全实践，例如定期更改密码和使用杀毒软件。
• 评估：年度自我评估。
• 适用范围：从某种程度上来说，适用于所有处理 FCI 的承包商。这是最常见的级别。

第 2 级：对 CUI 的广泛保护

• 重点：保护 CUI，例如受保护或传播控制限制的敏感数据。此级别旨在保护对国家安全至关重要的信息。
• 要求：符合 NIST SP 800-171 r2 的 110 项安全要求，例如维护系统安全计划 (SSP)，识别、记录和监控 CUI 资产，并实施漏洞扫描计划，以便识别并修复安全漏洞。
• 评估：由合同定义。有些合同可能需要进行自我评估，而有些合同可能需要由 CMMC 第三方评估组织 (C3PAO) 进行第三方评估。
• 适用范围：适用于处理 CUI 的承包商。

第 3 级：为 CUI 提供更高级别的保护，以防范高级持续威胁

• 重点：保护关键计划中的高度敏感 CUI。专注于额外的保护措施，以防范高级持续威胁 (APT)。
• 要求：所有 2 级要求，以及 NIST SP 800-172 中用于增强安全性的其他实践，例如制定全面的突发事件响应计划、实施全面的持续监控计划，以及评估和管理供应链安全风险。
• 评估：由国防工业基地网络安全评估中心 (DIBCAC) 执行的政府主导评估。
• 适用范围：适用于从事最敏感的政府项目的承包商。这是最不常见的级别。
• 前提条件：承包商必须已经达到 CMMC 2 级，才能实现 CMMC 3 级。

从本质上讲，CMMC 级别越高，所处理的数据就越敏感，网络安全要求就越严格。

您可以利用 Google 的 FedRAMP High 授权服务，使用 Google Cloud 和 Google Workspace 来满足组织各个级别的 CMMC 合规要求。Google Cloud 和 Google Workspace 均针对范围内的服务维护 FedRAMP High 运营授权 (ATO)。

Google 提供了以下指导文档，帮助您满足 CMMC 合规要求：

• Google Workspace CMMC 实施指南
• Google Cloud CMMC 实施指南

此外，Google 还提供由独立第三方评估组织出具的以下证明函：

• Google Workspace C3PAO CMMC 证明函（Google Cloud 预计在 2025 年 8 月之前获得认证）
• Google Cloud 和 Google Workspace NIST SP 800-171 合规证明函

对于 Google Cloud，您必须使用适用于 FedRAMP High 的 Assured Workloads 数据边界，并在配置系统以支持 CMMC 合规时使用 CMMC 客户责任矩阵 (CRM)。如需获取上述任何参考文档（例如 CRM），请与 Google 销售团队或您的 Google Cloud 代表联系。

对于 Google Workspace，您必须使用 FedRAMP High 授权服务来实现 CMMC 合规性，并使用安全管控 Plus 版来确保数据仅存储在美国境内。如果需要，客户可以关闭尚未获得 FedRAMP 授权的服务。

• Google Cloud C3PAO CMMC 证明函
• Google Workspace C3PAO CMMC 证明函
• Google Cloud CMMC 实施指南
• Google Workspace CMMC 实施指南
• 美国国防部 CMMC
• CMMC 计划最终规则
• DoD CIO CMMC 评估指南