美国网络安全成熟度模型认证 (CMMC)

目前，美国国防部 (DoD) 要求所有相关的国防承包商和分包商都必须实施 NIST SP 800-171 中所列的安全控制措施。这项要求旨在保护适用实体 DFARS 252.204-7012 合同承诺中的联邦合同信息 (FCI) 及受控非保密信息 (CUI)。 

为了正式实施这项要求并让 DoD 能够验证承包商及分包商是否符合 NIST SP 800-171 中的要求，DoD 制定了网络安全成熟度模型认证 (CMMC) 计划。合同中包含 DFARS 252.204-7012 条款的所有 DoD 承包商都需要达到 DoD 合同中要求的 CMMC 级别，这是在规则最终确定后赢得合同的条件。 

CMMC 2.0 背景信息

2023 年 12 月 26 日，DoD 发布了一条拟议规则，征求公众意见。意见征求期为 60 天，之后规则制定者将查看收到的意见，然后再发布最终的规则。根据这一时间表，行业分析师预计最终的规则将于 2025 年初发布，之后，将会有第一轮承包商接受 CMMC 认证。该日期可能会有变化，具体取决于政府的决策时间表。

CMMC 与 Google Cloud

CMMC 2.0 中提出了三个需要组织达到的级别，具体取决于 DoD 的要求。虽然在最终规则发布之前，组织无法接受正式的 CMMC 评估，但 Google Cloud 参与了指定的 C3PAO 模拟评估，以便为 CMMC 2 级做好准备。该模拟评估有助于对 Google Cloud 服务及 Google Workspace 的 FedRAMP 授权流程进行评估。待 CMMC 2.0 最终确定后，Google 将继续执行面向云服务提供商 (CSP) 的正式认证流程。

虽然到目前为止还没有任何组织获得 CMMC 认证，但 Google 已进行了 NIST SP 800-171 评估，以便为 CMMC 2.0 计划做好充分准备。如需查看这些评估报告，请访问我们的 NIST SP 800-171 页面。 

根据当前的 CMMC 草案，利用云解决方案存储 CUI 的承包商必须使用至少维持 FedRAMP 中等风险级别授权的 CSP。为了针对 CMMC 做好准备，使用 Google Cloud 服务的国防工业基地 (DIB) 承包商应参考我们的 FedRAMP 系统安全计划 (SSP) 中的 FedRAMP 客户责任矩阵 (CRM)，以了解 CMMC 预计会要求实施的共担责任模型。我们的销售团队或您的 Google Cloud 代表可随时解答您的问题并提供参考文档。