本日(11/5)、米国国防総省より新しいバージョンの「CMMC 2.0」が発表されました。

https://www.acq.osd.mil/cmmc/

(これまでのCMMC 1.0の説明から入れ替わりました)

 従来の5レベルを、3レベルに減らして、NIST(171,172)との整合性を持たせたようです。その他、自己申告やPoA&Mを認めるなどコストのかからないやり方に改善しています。

 わが国でも、防衛装備庁から新情報セキュリティ基準の案が提示され、代表検討中の各社においても対応準備が開始される状況となりました。日米で同時並行的に情報セキュリティ規程関連の動きが起こっています。NIS-Be/エヴァアビエーションでも、さらなる情報収集を行い、皆様にいち早いフィードバックをしてまいります。(NIS-Be会員サイトにて

 "CMMC 2.0 "として承認されたCMMCプログラムの変更に関する国防総省の今後の進め方について、最新の情報を提供します。これらの主な変更は以下の通りです。

  • レベル2と4を廃止し、CMMCモデルからCMMC独自のプラクティスと全ての成熟度プロセスを削除する。
  • CMMCレベル1については、年1回の自己評価と、DIB企業のリーダーによる年1回の確認を認める。
  • CMMCレベル3の要求事項は、独立した評価を必要とする優先順位の高い調達と、毎年の自己評価と毎年の会社による確認を必要とする非優先順位の調達を識別するために分かれます。
  • CMMCレベル5の要求事項は、現在作成中です。
  • 期限付きで強制力のある行動計画とマイルストーン(POA&M)のプロセスの作成。
  • 必要に応じて、選択的で期限付きの放棄プロセスを開発し、承認を得る。