CMMC L3 安全控制评估包括以下方面:
- 文档审查: 评估组织是否具备完整的安全政策、程序和文档,以证明其符合 CMMC L3 的要求。这包括但不限于:
- 系统安全计划 (SSP)
- 事件响应计划
- 灾难恢复计划
- 配置管理计划
- 访问控制政策
- 媒体保护政策
- 人员安全政策
- 现场访谈: 与组织的关键人员进行访谈,以了解他们对 CMMC L3 要求的理解和实施情况。访谈对象可能包括:
- 信息系统安全官 (ISSO)
- 系统管理员
- 网络管理员
- 安全工程师
- 其他相关人员
- 系统和网络扫描: 对组织的信息系统和网络进行扫描,以识别潜在的漏洞和弱点。这可能包括:
- 漏洞扫描
- 配置审核
- 渗透测试
- 证据收集: 收集各种证据,以证明组织符合 CMMC L3 的要求。证据可能包括:
- 系统日志
- 配置文件
- 访问控制列表
- 安全事件报告
- 培训记录
- 差距分析: 比较组织的实际安全控制措施与 CMMC L3 的要求,识别差距并提出改进建议。
- 报告撰写: 编写详细的评估报告,总结评估结果、差距分析和改进建议。
CMMC L3 安全控制评估通常由第三方评估机构 (C3PAO) 进行。C3PAO 会根据评估结果向组织颁发 CMMC L3 证书,证明其符合 CMMC L3 的要求。