美国网络安全成熟度模型认证 (CMMC)

目前，美国国防部 (DoD) 要求所有相关的国防承包商和分包商都必须实施 NIST SP 800-171 r2 中所列的安全控制措施。这项要求旨在保护适用实体 DFARS 252.204-7012“保护相关的国防信息和网络突发事件报告”合同承诺中的受控非保密信息 (CUI)。处理联邦合同信息 (FCI) 的联邦承包商（包括国防合同）有义务遵守 FAR 52.204-21“相关承包商信息系统的基本保护”中的安全要求。

为了正式实施这项要求并让 DoD 能够验证承包商及分包商是否符合 NIST SP 800-171 r2 中的要求，DoD 发布了 32 CFR 第 170 部分 CMMC 计划规则，于 2024 年 10 月 15 日正式启动了网络安全成熟度模型认证 (CMMC) 计划，并于 2024 年 12 月 16 日生效。除了新的 32 CFR 第 170 部分 CMMC 计划规则之外，DoD 还提出了一项采购规则（48 CFR 第 204 部分 CMMC 采购规则），以修正 DFARS 并解决与新的 32 CFR 第 170 部分 CMMC 计划规则相关的要求。预计 48 CFR 第 204 部分 CMMC 采购规则将更新 DFARS 252.204-7021，要求相关承包商和分包商在合同期间达到并维持所需的 CMMC 认证级别。这意味着，在接下来的几个月内最终确定后，承包商可能会开始看到更新后的 DFARS 252.204-7021 条款，要求在 DoD 合同中纳入 CMMC 合规性要求。虽然 DFARS 252.204-7021 和相应的 CMMC 要求正在逐步纳入合同，但已经处理 FCI 和/或 CUI 的 DoD 承包商可以选择自愿实现 CMMC 合规状态。Google Cloud 已准备好为 DoD 承包商提供支持，帮助他们满足 CMMC 合规要求。

CMMC 有哪 3 个级别？

CMMC 计划有三个级别：第 1 级旨在验证与 FAR 52.204-21 一致的 15 项要求。第 2 级旨在验证 110 项 NIST SP 800-171 r2 要求。第 3 级在此基础上，额外验证了 24 项 NIST SP 800-172 要求。更多详情如下所述。

第 1 级：基本保护 FCI

重点：保护 FCI（例如合同编号和交付时间表等基本信息）。此级别旨在让小型组织更容易满足要求，前提是这些组织不会管理对国家安全至关重要的信息。
要求：15 项基本网络安全实践。示例：定期更改密码和使用杀毒软件。
评估：年度自我评估。
适用范围：从某种程度上来说，适用于所有处理 FCI 的承包商。这是最常见的级别。

第 2 级：广泛保护 CUI

重点：保护 CUI（例如受保护或传播控制限制的敏感数据）。此级别旨在保护对国家安全至关重要的信息。
要求：符合 NIST SP 800-171 r2 的 110 项安全要求。示例：维护系统安全计划 (SSP)，识别、记录和监控 CUI 资产，并实施漏洞扫描计划，以便发现和修复安全漏洞。
评估：由合同定义。部分合同可能要求进行自我评估，而其他合同可能要求由 CMMC 第三方评估组织 (C3PAO) 进行第三方评估。
适用范围：适用于处理 CUI 的承包商。

第 3 级：为 CUI 提供更高级别的保护，以防范高级持续威胁

重点：保护关键计划中的高度敏感 CUI。专注于额外的保护措施，以防范高级持续威胁 (APT)。
要求：所有 2 级要求，以及 NIST SP 800-172 中用于增强安全性的其他实践。示例：制定全面的突发事件响应计划、实施全面的持续监控计划，以及评估和管理供应链安全风险。
评估：由国防工业基地网络安全评估中心 (DIBCAC) 执行的政府主导评估。
适用范围：适用于从事最敏感的政府项目的承包商。这是最不常见的级别。
前提条件：承包商必须已经达到 CMMC 2 级，才能实现 CMMC 3 级。

从本质上讲，CMMC 级别越高，所处理的数据就越敏感，网络安全要求就越严格。特定合同所需的级别取决于所涉及的信息类型和项目的敏感度。

Google Cloud 和 Google Workspace 支持 CMMC

客户可以使用 Google Cloud 和 Google Workspace，通过利用 Google 的 FedRAMP 基准并将其系统配置为支持 FedRAMP 合规性来遵守 CSP 适用的所有级别的 CMMC 要求。Google Cloud 和 Google Workspace 为定义的服务维护 FedRAMP 中等风险级别和 FedRAMP 高风险级别运营授权 (ATO)。所有 FedRAMP 中等风险级别和 FedRAMP 高风险级别服务均符合 CSP 的 NIST 800-171 r2 要求。在配置系统以支持 FedRAMP 合规性时，客户必须使用 FedRAMP 客户责任矩阵 (CRM)，它属于 Google FedRAMP 系统安全计划的一部分。

根据要求，Google 还可以为客户提供实现指南以支持 CMMC Enclave 设置，并提供经过认证的第三方审核组织 (C3PAO) 的 CMMC 合规性证明函以支持要求验证。Google 销售团队或您的 Google Cloud 代表可以帮助您访问适用的文档。

对于要求达到 CMMC 1 级合规性的 DoD 承包商，所有 Google Cloud 产品都可以支持其合规性需求。为了实现 CMMC 2 级和/或 3 级合规性，管理 CUI 的 DoD 承包商必须利用至少提供 FedRAMP 中等风险级别授权云服务的云解决方案。希望使用 Google Cloud 服务满足此基准要求的客户可以利用此处列出的 FedRAMP 授权服务。

Google Cloud 客户必须选择 FedRAMP 中等风险级别或 FedRAMP 高风险级别监管控制包，以便在软件定义的边界内进行部署。如上所述，客户在配置系统以支持 FedRAMP 合规性时，应使用 FedRAMP CRM（Google 的 FedRAMP SSP 的一部分）。

Google Workspace 客户必须确保仅在符合 CMMC 要求范围内使用 FedRAMP 中等风险级别或 FedRAMP 高风险级别服务。如果需要，客户可以关闭尚未获得 FedRAMP 授权的服务。

如果客户只想将其数据存储在美国境内，则必须使用 FedRAMP 高风险级别服务（配置了 Assured Workloads 或安全管控）和 FedRAMP CRM。这样可以确保他们的客户数据存储在美国境内的 Google 数据中心区域中。客户也可以针对 IL2、IL4 或 IL5 选择使用 Google 解决方案，以满足数据驻留需求。Google 建议客户遵循 Google Workspace FedRAMP 配置指南，以支持符合 CMMC 要求。