Cybersecurity Maturity Model Certification(CMMC)은 Federal Contract Information(FCI) 또는 Controlled Unclassified Information(CUI)을 다루는 모든 계약자에 대한 DoD 요구사항입니다. CMMC 2.0은 원래 5개 레벨을 3개로 통합했습니다: Level 1(기본, FAR 52.204-21의 15개 실무), Level 2(고급, NIST SP 800-171 Rev 2의 110개 실무), Level 3(전문가, NIST SP 800-172 통제). Level 2 및 Level 3는 제3자 또는 정부 주도 평가가 필요합니다.
Top Floor는 방위 산업 계약자와 하도급업체가 현재 위치를 파악하고, 격차를 좁히며, 평가를 준비하도록 돕습니다. System Security Plan(SSP)에 대한 상세 검토를 수행하고, 현재 통제를 NIST SP 800-171에 매핑하고, POA&M 항목을 식별하며, 실행 가능한 교정 로드맵을 작성합니다. CUI 경계를 설정하거나 개선해야 하는 조직에게는 컴플라이언스를 희생하지 않으면서 평가 범위를 최소화하는 범위 설정 가이드를 제공합니다.
이것은 체크박스 충족 연습이 아닙니다. CMMC 평가자는 정책 문서만이 아닌 운영 효과성의 증거를 탐색합니다. 통제가 실제로 구현되어 있고 실제 실무를 입증하는 산출물을 생산하여 그 수준의 정밀 조사에 대비하도록 준비합니다.
Frameworks: CMMC 2.0, NIST SP 800-171 Rev 2, NIST SP 800-172, FAR 52.204-21
대상
- DoD 계약을 추구하거나 유지하는 방위 산업 계약자
- CUI를 다루는 방위 산업 기반의 하도급업체
- 원도급 계약자에게 부품이나 서비스를 공급하는 제조업체
- 방위 조직을 지원하는 IT 서비스 제공업체
- DFARS 252.204-7012에 따른 NIST SP 800-171 컴플라이언스가 필요한 조직
제공 내용
- CMMC 레벨 결정 및 범위 분석
- 점수화된 발견사항 포함 NIST SP 800-171 격차 평가
- System Security Plan(SSP) 개발 또는 검토
- Plan of Action and Milestones(POA&M) 생성
- CUI 경계 정의 및 데이터 흐름 문서
- 평가 준비 및 모의 평가 지원
자주 묻는 질문
침투 테스트로 CMMC 컴플라이언스 강화
실제 공격 시뮬레이션으로 보안 통제를 검증하세요. OSCP 인증 전문가가 외부, 내부, 웹 앱, 모바일, API, IoT, 무선, Red Team 등 8개 분야에 걸쳐 수동 방법론 기반 테스트를 수행합니다.
침투 테스트 자세히 보기