CMMCは米国の第三者認証の仕組みとして、世界でも最大級の規模での取り組みとなっています。国防総省と直接・間接に契約を持つ企業は全米で30万社にのぼると言われています。そのすべてにレベル1を、CUIを扱う企業にはレベル3の認証を求めるという取組みとなっています。
CMMCの認定組織について
CMMC-AB(Cybersecurity Maturity Model Certification Accreditation Body)は、メリーランド州で非営利法人として法人化された団体です。現在(2021年3月)では国防総省との契約に基づいて、CMMCの認証を実行する枠組み作りを推進しています。以下の活動を行うための組織(制度等)を作成し、現在活動中です。
- 国防総省サプライチェーンにおける30万社以上の企業の評価
- 評価者およびC3PAO(認定された第三者評価機関)向けのトレーニング
- 当目的を達成するための基盤
- CMMCプロセスに参加する組織および審査員の認定
- 個々の請負業者または監査で発生する抗議または問題の裁定
- サプライチェーンのサイバーセキュリティ防御態勢の定義および改善を未来思考で改革
CMMC-ABの活動状況(2020/4末現在)
- 2020/1 米国メリーランド州で非営利法人として法人化
理事長のタイシーバー氏を含め、15名の執行委員がWEBサイトに掲載されています。
- 少数の有識者によって、ワーキンググループ活動のための基盤を作成
- CMMC標準管理
- 標準管理委員会 業界ワーキンググループ
- 資格認定委員会
- 初期評価作業部会の加速
- 評価品質保証ワーキンググループ
- CMMC評価方法論ワーキンググループ-反復1
- 研修委員会
- CMMC-AB研修および認定フレームワークレビュー
- 暫定認定評価者レベル3試験の構造と学習目標を定義
- 暫定認定評価者レベル3試験の試験問題を開発
- CMMC標準管理
その他、必要に応じて新たなワーキンググループを結成して活動を行っています。
C3PAO ( 公認第三者審査機関 )
C3PAOは審査プロセスを管理することを認可されています。
- CMMC-ABにおいて公開され、審査対象となる企業(OSC:請負会社)と繋がることができます。
- CMMC-ABサイトを経由して審査日程を決定します。
- 認証審査員の採用と訓練(審査可能なのは認証審査員だけです)
- 審査を管理する(契約先顧客へ認証審査員を送り込み審査を実施及び他の審査対象顧客へ助言実施)