רמות ההסמכה השונות הן הרמות המגדירות מה הפרקטיקות עליהן נדרש הארגון לענות בהתאם לסוג הידע שהוא נדרש להגן.
בגרסה הראשונה של התקן היו 5 רמות הסמכה ולכל רמה מספר פרקטיקות שנדרשות למענה. בגרסה מס' 2 (העדכנית יותר) השתנה מספר הרמות. הרמות כעת הן:
רמה 1 (בסיסית): על הארגון להתמקד בהגנה על FCI בלבד. ברמה זו, נדרש לבצע אבטחת מידע ברמה בסיסית על פי הדרישות המפורסמות ב FAR.
רמה 2 (מתקדם): ברמה זו יש דרישה להגן על CUI. בתקן זה 110 דרישות שמבוססות על התקןNIST SP 800-171 Rev 2.
רמה 3 (מומחה): רמה זו תתבסס על פי התקן NIST SP 800-172 ותפורסם בהמשך. אולם ניתן לשער כי מדובר בדרישות ברמה בגבוהה ומורכבת.
כל רמה דורשת עמידה בדרישות הרמה הנמוכה יותר בנוסף לדרישות מהרמה עצמה.
הסמכה
בתקן קיימות דרישות הסמכה מדורגות המבוססות על המידע המשותף עם הקבלן (בהתאם לרמת ההסמכה המבוקשת).
ברמה 1 (בסיסית) הארגון נדרש לבצע הערכה עצמית שנתית.
ברמה 2 (מתקדם) הארגון נדרש לעבור מבדק הערכה חיצונית אחת ל-3 שנים ולבצע הערכה עצמית פעם בשנה.
ברמה 3 (מומחה) הארגון יידרש לעבור הסמכה ע"י גוף ממשלתי אמריקאי CMMC-AB.
מתוך חוברת Cybersecurity Maturity Model Certification - Model Overview מתוך אתר ה-DoD.
Comments