几年来，数据泄露连攀高峰，堪称爆发之势。如此之高的攻击频率和企业损失的不断攀升，已经引起了各国政府的高度重视。在过去，数据泄露还相对“本地化”一些，也就是说，数据泄露事件仅影响目标公司。但现在，新型攻击可以摧毁整条供应链。虽然许多公司已投入大量资金来防范此类攻击，但完善的安全计划需要包含能够明确验证这种安全准备情况的能力。

CMMC是什么？

　　政府机构是攻击者眼中极具吸引力的目标。美国国防工业基础（DIB）和国防部（DoD）供应链都相当诱人。DIB部门涵盖30多万家公司，负责为美国国防部提供各方各面的支持。美国国防部内部多个小组为这些公司创建了统一的合规验证系统，也就是网络安全成熟度模型认证（CMMC）。

　　安全专业人士大多很熟悉网络安全框架。该框架由美国国家标准与技术研究院（NIST）制定，已成为许多企业公认的标准，可用于通过正式的安全计划来展示安全准备情况。采用CMMC，公司能够通过可以客观评估的多个层级来证明安全准备情况。

　　CMMC针对两类独立的成就提供五个一致性层级。需要说明的是，流程和实践均匹配更高的合规层级。

　　加上流程和实践，是对网络安全规范的补充，可以明确知悉各自的实践需要哪些流程，消除了许多其他评估标准中存在的貌似自由裁量的判断。 

　　有鉴于此，CMMC不仅仅局限于层级。引用文档里的话：

　　“除了CMMC层级描述，规范并映射流程及实践到特定级别还考虑了多重因素……”文档中还指出，“CMMC模型实际上提供了一种方法，可以更好地根据需保护信息的类型和敏感性与威胁的范围来协调成熟度流程和网络安全实践。”

　　这些陈述似乎是为了说明并非所有数据都同等重要。具体讲，每个层级匹配特定类型的信息。例如，联邦合同信息的保护级别低于受控非机密信息的保护级别。 

深入了解CMMC

　　CMMC的粒度级别让人联想到私营部门的审计工具，例如信息技术控制目标（COBIT）和其他评估标准。CMMC标准横跨17个“领域”。这些领域涵盖了全面网络安全实践的方方面面。如果考虑满足每个领域各自的要求，CMMC明显总共由171个“最佳实践”组成。（文档摘要中也对此做出了说明。）

　　沿CMMC的路径前进，似乎可以认为CMMC的流程比实践更容易实现。这是因为，流程可以视为一组实际行为，而实践建立在“文化”依从这些行为的基础上。“制度化一词描述了一项活动嵌入或根植到公司运营中的程度。”这听起来很像安全专业人员长期以来一直试图在公司里表达的内容！因此，这似乎是一项更具挑战性的任务。

　　如果全公司范围内多个层级混杂，则按照CMMC，公司将被归为最低的两个层级：已执行或已记录的流程；以及基本或中级网络卫生实践。

　　应该注意的是，CMMC是一种组织认证，类似于制度与组织控制（SOC）审计是组织现有控制措施有效性的保证。CMMC不是安全行业的个人认证，尽管个人可以被认证为CMMC或高级CMMC“评估员”。作为美国国防部的新要求，CMMC将成为网络安全领域值得拥有的一项认证。

　　CMMC对于美国国防部的所有供应商都有效。这项认证十分完善，每家企业的网络安全人员都应该熟悉这项认证。与许多NIST指南一样，采用CMMC可以提升每家企业的网络安全状况。这是大家都适用的模型。

参考阅读

工业互联网安全能力指南（概况）

2021年度中国数字安全能力图谱（完全版）

基于工控业务场景构建工控安全成熟度模型