Departament Obrony Stanów Zjednoczonych (DOD) wprowadził certyfikację modelu dojrzałości cyberbezpieczeństwa (CMMC), która będzie obowiązkowa dla wszystkich organizacji, w tym dostawców usług kadrowych, które współpracują z Departamentem Obrony i przetwarzają kontrolowane informacje niejawne (CUI). Jednak szkolenie CMMC oferuje więcej niż tylko zgodność z przepisami dotyczącymi uzyskiwania kontraktów DOD. Umożliwia agencjom pośrednictwa pracy świadczenie swoim klientom lepszych usług, a także pomaga im zdobyć przewagę konkurencyjną w branży. Kontynuuj czytanie, aby dowiedzieć się, jak to zrobić.
Co to jest CMMC?
Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) to program certyfikacji mający na celu wdrażanie cyberbezpieczeństwa w sektorze bazy przemysłowej obronności (DIB). Departament Obrony (DoD) stworzył go w celu sprawdzenia, czy organizacje posiadają akceptowalne środki cyberbezpieczeństwa, aby móc pracować jako wykonawcy lub podwykonawcy dla agencji rządowej. Zasadniczo jego głównym celem jest zapewnienie, że kontrolowane informacje niejawne (CUI) i federalne informacje kontraktowe (FCI) są odpowiednio chronione podczas przetwarzania przez wykonawców federalnych.
Warto jednak postrzegać ramy CMMC jako ogólny przewodnik dla tych, którzy nie są powiązani z rządem, ale chcą wzmocnić swoje zabezpieczenia cyberbezpieczeństwa. Ramy wykorzystują system wielopoziomowy, w którym różne poziomy certyfikacji odpowiadają coraz silniejszym środkom cyberbezpieczeństwa. Organizacje mogą osiągać coraz wyższe poziomy certyfikacji w oparciu o różne testy oceniające.
Szkolenie CMMC dla dostawców usług kadrowych współpracujących z Departamentem Obrony
Dostawcy usług kadrowych, którzy chcą współpracować z Departamentem Obrony USA (DoD), będą musieli spełnić co najmniej pierwszy poziom certyfikacji modelu dojrzałości cyberbezpieczeństwa (CMMC), najprawdopodobniej do stycznia 2026 r. W zależności od rodzaju informacji, które przekazują obsługi, mogą również wymagać certyfikacji wyższego poziomu. Certyfikację zapewni Cyber AB, który jest formalnie autoryzowanym partnerem certyfikującym DoD w zakresie szkoleń CMMC.
Warto jednak zauważyć, że przestrzeganie kontroli wymienionych na poziomie 1 szkolenia CMMC nie będzie czymś nowym dla wielu dostawców usług kadrowych współpracujących z rządem. Dzieje się tak dlatego, że Departament Obrony, Administracja Usług Ogólnych (GSA) i NASA już wprowadziły podstawowy poziom bezpieczeństwa w ramach starszego zestawu zasad zwanego „Federalnym rozporządzeniem w sprawie przejęć; Podstawowe zabezpieczenia systemów informatycznych kontrahentów.” Ten zbiór zasad obowiązuje od 2016 roku, a poziom 1 szkolenia CMMC po prostu modyfikuje część wymagań, które już się w nim znajdują.
Dalsze korzyści CMMC dla dostawców usług kadrowych
Certyfikacja CMMC może być czymś więcej niż tylko kryterium kwalifikacyjnym do uzyskania kontraktów rządowych. Zamiast tego, stosując się do praktyk określonych w ramach, dostawcy usług kadrowych mogą znacznie poprawić swój stan bezpieczeństwa i czerpać różne korzyści:
Systematycznie zwiększaj cyberbezpieczeństwo
CMMC składa się z pięciu odrębnych poziomów, z których każdy reprezentuje rosnący stopień dojrzałości i możliwości cyberbezpieczeństwa. Wdrażając CMMC, dostawcy usług kadrowych mogą systematycznie poprawiać swój poziom cyberbezpieczeństwa. Począwszy od podstawowych praktyk higieny cybernetycznej po zaawansowane możliwości wykrywania zagrożeń i reagowania, Szkolenie CMMC wskazuje organizacjom postępową ścieżkę w kierunku bardziej odpornych ram cyberbezpieczeństwa.
Chroń wrażliwe dane
Dostawcy usług kadrowych zazwyczaj przetwarzają duże ilości poufnych informacji, takich jak dane osobowe, dokumentacja finansowa i inne poufne dane dotyczące swoich klientów i kandydatów. Tego typu dane są niezwykle cenne dla cyberprzestępców, co czyni ich głównym celem cyberataków. Zatem postępując zgodnie z wytycznymi szkoleniowymi CMMC, dostawcy usług kadrowych mogą rozwinąć możliwości wymagane do ochrony tych danych oraz zapewnienia prywatności i bezpieczeństwa swoich klientów i kandydatów.
Buduj zaufanie wśród klientów
Ponieważ dostawcy usług kadrowych mają dostęp do wrażliwych informacji o klientach, zaufanie jest w tej branży bardzo istotne. Odbywając szkolenie CMMC, usługi kadrowe może wzbudzić w klientach pewność, że ich dane są w dobrych rękach. To zaufanie może prowadzić do długotrwałego partnerstwa i pozytywnych rekomendacji, co ostatecznie przyniesie korzyści firmie.
Zdobądź przewagę konkurencyjną
Obecnie klienci z branży kadrowej coraz bardziej zwracają uwagę na praktyki cyberbezpieczeństwa stosowane przez swoich dostawców usług. A te agencje zatrudnienia, które mogą wykazać duże zaangażowanie w cyberbezpieczeństwo, mają większe szanse na zdobycie kontraktów i partnerstw. Wdrożenie szkoleń CMMC zapewnia dostawcom usług kadrowych przewagę konkurencyjną poprzez pokazanie ich zaangażowania w ochronę danych klientów i zapewnienie integralności ich usług.
Dostosuj się do zmieniających się zagrożeń
Dostawcy usług kadrowych muszą stale aktualizować swoje praktyki w zakresie cyberbezpieczeństwa, aby wyprzedzić ewoluujące zagrożenia cybernetyczne. Szkolenie CMMC zapewnia ustrukturyzowane ramy, które rozwijają się wraz z krajobrazem zagrożeń, zapewniając gotowość do stawienia czoła pojawiającym się wyzwaniom.
Jak uzyskać certyfikat CMMC dla dostawców usług kadrowych
Aby uzyskać certyfikaty szkoleniowe CMMC, dostawcy usług kadrowych mogą postępować zgodnie z podaną procedurą:
-
Opracowywać i oceniać procesy bezpieczeństwa informacji
Stwórz system zapewniający bezpieczeństwo informacji i oceniaj go przy użyciu standardów NIST 800-171.
-
Wprowadź ulepszenia i prześlij swój wynik
Na podstawie oceny sformułuj plan poprawy swojego bezpieczeństwa. Ustaw cele i daty docelowe, aby osiągnąć wynik do 110. Następnie prześlij ten wynik do systemu ryzyka wydajności dostawców Departamentu Obrony (SPRS).
Dowiedz się, jaki poziom certyfikacji jest niezbędny dla Twojej firmy. Warto zauważyć, że poziomy 1 i 2 to jedyne obecnie dostępne certyfikaty.
-
Zidentyfikuj obszary poprawy
Skorzystaj z akredytowanej organizacji zewnętrznej, takiej jak NSF-ISR (kandydat C3PAO), aby zidentyfikowała obszary wymagające poprawy w procesie bezpieczeństwa informacji.
-
Napraw obszary wymagające poprawy
Kiedy już wiesz, gdzie musisz się poprawić, wprowadź te zmiany. Jest to ważne, aby uzyskać certyfikat.
Po dokonaniu niezbędnych ulepszeń znajdź C3PAO do oceny CMMC. Można go znaleźć na rynku Cyber-AB.
Ocena CMMC będzie prawdopodobnie przebiegać w czterech etapach:
- Etap I – Przygotowanie: Ten etap będzie obejmował planowanie oceny. Zwykle będzie to wymagało zebrania wstępnych informacji na temat tego, co należy ocenić, wypełnienia formularza dotyczącego potrzebnych rzeczy, skompletowania zespołu, który przeprowadzi ocenę i sporządzenia przybliżonego planu przebiegu oceny. Istnieje również kontrola gotowości z NSF-ISR.
- Etap II – Ocena: Na tym etapie C3PAO przeprowadzi ocenę CMMC. Najpierw zostanie zaplanowane spotkanie pomiędzy Twoją grupą a zespołem oceniającym NSF-ISR CMMC. Następnie zbadają wszystkie dowody związane z praktykami CMMC, omówią wszelkie wstępne ustalenia i przedstawią ostateczne wnioski.
- Etap III – Ocena końcowa: Wyniki oceny zostaną następnie przesłane do NSF-ISR. Przeprowadzą kontrolę jakości i prześlą swoje rekomendacje do Sponsora OSC i CMMC-AB. Następnie CMMC-AB przeprowadzi kolejną ocenę. Na tej podstawie CMMC-AB podejmie decyzję o zatwierdzeniu lub odrzuceniu zalecenia na poziomie CMMC.
- Etap IV – Naniesienie ewentualnych poprawek: Jeśli ocena wykaże, że Twoja firma nie osiąga docelowego poziomu CMMC, NSF-ISR wyśle prośbę o wprowadzenie poprawek do Cyber-AB do zatwierdzenia. Następnie Cyber-AB podejmie decyzję, czy dać zielone światło, czy nie. Jeśli zostanie zatwierdzony, otrzymasz 90 dni na rozwiązanie problemów.
Po ocenie Cyber-AB podejmie decyzję, czy uzyskasz certyfikat szkolenia CMMC, czy nie. Jeśli zdobędziesz certyfikat, będzie on ważny przez okres trzech lat.
Uwagi końcowe
Ważne jest, aby zrozumieć, że uzyskanie szkolenia CMMC może wymagać znacznej ilości czasu, energii i zasobów. Dlatego też dostawcom usług kadrowych chcącym zabezpieczyć kontrakty z Departamentem Obrony zaleca się rozpoczęcie procesu szkoleniowego CMMC na długo przed terminem certyfikacji. Rozpoczynając wcześnie, możesz mieć przewagę nad konkurencją, odpowiadając na różne żądania i wymagania Departamentu Obrony.