为 CMMC 执法做好准备：保护 CUI 的必要步骤

出版日期： 19 12 月, 2025

美国国防部 (DoD) 于 2020 年初推出了其网络安全成熟度模型认证 (CMMC) 计划，旨在加强国防工业基础 (DIB) 的网络安全，并确保处理受控非机密信息 (CUI) 的承包商符合由美国国家标准与技术研究院 (NIST) 制定的严格网络安全标准。

2025 年 11 月 10 日，美国国防部针对 CMMC 计划的最终采购规定正式生效，这意味着国防部的合同将开始包含强制性的 CMMC 要求，并将在未来几年内逐步实施。

CMMC 有三个级别，各级别的要求各不相同。 CMMC 1 级包含 15 项控制措施，适用于仅涉及联邦合同信息 (FCI) 但不涉及 CUI 的合同。承包商必须进行自我评估；无需第三方评估。 CMMC 2 级包含 110 项控制措施，并与 NIST SP 800-171 控制措施保持一致。这是与 CUI 签订合同的必要条件。许多合同要求通过 CMMC 第三方评估机构 (C3PAO) 的第三方评估获得 CMMC 2 级认证。最后，CMMC 3 级要求增加 24 项加强的安全控制，并且所有合同都需要第三方评估。

新的 CMMC 时间表

美国国防部计划在未来几年推出 CMMC。以下是每个阶段对处理 CUI 的承包商的意义以及当前的时间表：

第 1 阶段已经启动，处理 CUI 的承包商必须自行评估其是否达到 CMMC 2 级要求，才有资格获得国防部合同。在某些情况下，美国国防部也可能要求对第 2 级进行第三方审计。
第 2 阶段将于 2026 年 11 月启动，2 级合同将要求第三方认证，而不仅仅是自我评估。
第 3 阶段将于 2027 年 11 月启动，除非延迟，否则所有新合同都必须获得 CMMC 3 级第三方认证。国防部可能会将某些合同的 CMMC 3 级要求推迟到选择期。
第 4 阶段是最后一个阶段，将于 2028 年 11 月启动。 CMMC 要求将适用于所有适用的合同。

这对承包商现在意味着什么

如果您的组织处理 CUI 或 FCI，未来的招标将包括 CMMC 要求。要做好准备，请重点关注以下步骤：

验证云合规性：CMMC 要求任何存储或处理 CUI 的云服务获得 FedRAMP 认证（或同等认证）。使用云服务提供商的组织应评估其每一份云服务合同，并核实该提供商是否已获得 FedRAMP 中等认证。
定义您的 CUI 环境：映射 CUI 所在的位置，并识别与其交互的系统、网络、应用程序和用户。
审查所有 110 项 2 级控制措施：确定差距，记录哪些类别需要额外支持，并确定补救措施的优先级。一些 2 级类别包括访问控制 (AC)、意识和培训、审计和问责 (AU) 以及配置管理 (CM)。
记录所有内容：保持清晰的访问策略、审计和配置记录。无论您是进行自我评估还是准备接受第三方评估，拥有清晰的文档都将缩短实现 CMMC 全面合规所需的时间。

为什么特权访问管理很重要，以及 Keeper 如何提供帮助

特权访问管理 (PAM) 解决方案管理和保护有权访问高度敏感系统和数据的帐户，从而降低网络攻击的风险。 PAM 解决方案可以帮助组织满足 CMMC 的许多控制要求，特别是与访问控制 (AC)、身份识别和身份验证 (IA) 以及系统和通信保护 (SC) 相关的控制要求。

如今，典型的安全团队往往缺乏对组织密码安全状况的全面了解。Keeper Security Government Cloud (KSGC) 通过提供密码重复使用和凭据泄露的可见性，以及使组织能够设置和监控密码策略，从而弥补了这一差距。 KSGC 还会监控并提醒管理员注意薄弱环节，从而在网络安全事件发生前主动进行风险管理。

KSGC 获得了 FedRAMP 高级授权，这使其成为需要保护敏感信息的国防部承包商的理想选择。Keeper 帮助企业遵守这些不断发展的 CMMC 控制要求，通过解决关键的密码安全和访问管理需求，减轻了展示符合 CMMC 控制要求的负担。

为了帮助组织理解 Keeper 在 CMMC 框架中的作用，Keeper 最近与一位第三方 CMMC 专家合作，将 Keeper 的功能映射到特定的 CMMC 控制中。这位专家名叫 Jacob Hill，是 TEKFused 的首席执行官，该公司提供治理、风险与合规性 (GRC) 认证。 Hill 拥有 17 年以上的经验，拥有 WGU 的网络安全硕士学位，并持有多项认证，包括 CMMC 认证评估员、CMMC 临时讲师、CISSP-ISSEP 和 CySA+。他还发表过 CVE 相关研究，其安全研究曾被 Brian Krebs 和 Infosecurity 杂志报道。

下载 Keeper CMMC 控制分析

*免责声明：点击上面的按钮将下载文件到您的计算机。

通过将有意识的网络安全实践、强大的访问管理策略以及像 KSGC 这样的平台相结合，承包商能够加快准备速度，领先于合规要求，并为承接国防部合同做好准备。立即请求演示，了解更多信息。

Kim Howard

作者： Kim Howard

Kim Howard is the Public Sector Marketing Manager at Keeper Security. She has over a decade of experience in Marketing and has worked at technology and software companies of all sizes, ranging from startups to enterprises. Her goal is to help public sector organizations understand the importance of cybersecurity and how they can safeguard against cyber attacks. Kim has a B.A. in Business Administration from Governors State University.

为 CMMC 执法做好准备：保护 CUI 的必要步骤

新的 CMMC 时间表

这对承包商现在意味着什么

为什么特权访问管理很重要，以及 Keeper 如何提供帮助

Kim Howard

作者： Kim Howard

让最新的网络安全新闻和更新直接发送至您的收件箱

您可能也会喜欢

Keeper Security 获得了 FedRAMP High 对特权访问管理的授权