在美国，要获得网络安全成熟度模型认证 (CMMC) 1.0计划下的认证，国防部 (DoD) 承包商必须成功完成第三方评估。国防部发布了两份 CMMC 评估指南，是评估员和承包商评估 CMMC 框架遵守情况的基本工具。适用于在准备 CMMC 评估时寻求额外说明的国防部承包商。卡内基梅隆大学发布了有关CMMC评估的一些辅助性文件，将引导用户完成评估指南，提供基本的 CMMC 概念和定义，并介绍一些实践的替代描述。目标是帮助那些不熟悉网络安全标准的人更好地了解 CMMC 实践和流程。

CMMC是一项旨在提高美国国防工业基地 (DIB)供应链安全性的认证计划。最终，国防部将要求所有 DIB 公司在五个 CMMC 级别之一进行认证，其中包括网络安全成熟度模型框架中规定的技术安全控制和成熟度流程。

美国国防部于 2020 年 11 月发布的CMMC Assessment Guide - Level 1和CMMC Assessment Guide - Level 3是了解 CMMC 认证细节的定义文件。评估员将在认证过程中使用这些指南，承包商可以使用它们为认证做准备。

2级怎么了？它被认为是一个过渡级别。虽然它被认为是从 1 级到 3 级进展的里程碑，但预计不会成为国防部合同的要求。CMMC 还定义了 4 级和 5 级的要求，但相关评估指南尚未发布。

那么，你需要达到什么水平呢？这完全取决于客户在国防部合同要求使用什么类型的数据。

周末，在整理资料过程中，我整理了《CMMC评估指南的实践和过程概述》这篇内容，大致一万三千多字，通过该文件我们可以了解一下在为美国国防部服务的美国安全企业，都需要达到哪个程度的水平。同时，也可以作为我国在管理供应链或服务商过程中的一个参考和借鉴。