为什么大多数 CMMC 准备时间比承包商预期的要长
询问大多数国防承包商需要多长时间CMMC需要做好准备,他们会给你一个太小的数字。不是因为他们粗心,而是因为这个过程的范围从外部看并不明显。这些控制措施在清单上看起来很容易管理。
在您深入了解之前,文档要求似乎很简单。员工培训看起来很简单,直到您意识到有多少人需要它以及需要提供的彻底程度。
其结果是一种在整个国防工业基地反复上演的模式。承包商决定在截止日期前有足够的时间寻求 CMMC 认证,但在中途发现该过程花费的时间远远超过预期,最终要么匆忙完成最后阶段,要么完全错过了目标日期。
了解为什么 CMMC 准备需要这么长时间并不令人沮丧。这些信息可以让您建立一个现实的时间表,避免拖慢大多数组织速度的瓶颈,并在充分准备而不是部分准备的情况下进行正式评估。
快速总结
- 大多数承包商准备 2 级认证需要六到十二个月,有些需要更长的时间
- 最大的时间延迟来自范围定义、文档开发和控制实施差距,这些差距没有及早发现
- 外部瓶颈(包括 C3PAO 调度和评估员可用性)会增加您无法控制的时间
- 尽早开始是保护您的合同资格免受时间超限影响的唯一可靠方法
目录
- 预计准备时间与实际准备时间之间的差距
- 为什么范围定义需要比预期更长的时间
- 大多数承包商低估的文档挑战
- 控制实施:善意与现实复杂性的结合
- 没有人警告您的瓶颈
- 仓促的准备如何造成评估风险
- 建立切合实际的 CMMC 准备时间表
- Mindcore Technologies 如何让您的时间表步入正轨
- 迟开始的代价
预计准备时间与实际准备时间之间的差距
行业指南一致引用六到十二个月作为准备 CMMC 2 级认证评估所需的平均时间。该范围假设组织从平均合规状态开始,这意味着组织已在网络安全方面做出了一些努力,但尚未实施 NIST SP 800-171 要求的所有控制措施。
实际上,许多组织需要更长的时间。以前没有按照正式网络安全合规要求运营的组织经常在最初的差距分析中发现,他们的初始态势比他们想象的要弱。每增加一个差距就会增加补救时间、文档工作,并且在许多情况下还会增加原计划中没有的员工培训。
在预计时间表内完成流程的承包商几乎总是从彻底的差距分析开始,围绕实际发现而不是一般估计制定时间表,并尽早接受经验丰富的指导,以避免为其他人延长流程的弯路。
为什么范围定义需要比预期更长的时间
CMMC 准备工作的第一个实质性步骤是准确定义哪些系统、网络、用户和数据流属于您的评估范围。此步骤决定了每个后续决策,从您需要实施哪些控制,到哪些员工需要培训,再到需要评估哪些供应商。
大多数承包商认为此步骤需要几天时间。对于拥有简单 IT 环境的组织来说,这可能是正确的。然而,对于大多数国防承包商来说,实际情况比表面看起来更复杂。
政府数据往往流经比组织最初意识到的更多的系统。合同管理系统、电子邮件平台、用于文件共享的云存储服务、用于与总理协调的协作工具、有时远程工作的员工带回家的笔记本电脑:每一个都可能在范围内,具体取决于政府数据是否通过它。准确地绘制数据流需要时间,如果出错就会产生问题,这些问题会在后续准备的每个阶段中加剧。
匆忙定义范围或定义范围过窄的组织通常会在流程后期发现错误,因为将系统添加到范围意味着重新访问文档、实施额外的控制以及可能重复内部准备情况审查的部分内容。预先确定范围的成本始终低于事后纠正的成本。
大多数承包商低估的文档挑战
文档是 CMMC 准备时间安排最一致的领域。仅系统安全计划就需要对您的环境、适用认证级别中的每项控制、每项控制的实施方式以及负责维护的人员进行全面、准确的描述。对于 2 级认证,这意味着足够详细地解决 110 项控制措施以满足独立评估员的要求。
编写准确反映真实环境的文档与编写描述理想环境的文档有根本的不同。策略需要描述您的组织实际做什么,而不是模板所说的应该做什么。 SSP 需要在范围、当前实施的访问控制以及当前遵循的监控实践方面与系统相匹配。
这种对齐需要迭代。草稿经过审查,文档与现实之间的差距得到确定,进行更新,并且重复该过程,直到文档准确且完整。从未从头开始构建合规性文档包的组织通常会低估该流程所需的审查和修订次数。
除了 SSP 之外,还需要为每个所需的控制域制定策略和程序。对于没有现有正式政策框架的组织来说,从头开始构建这些文档会增加数周的时间。对于拥有现有政策的组织来说,审查和更新政策以反映当前要求和当前实践的工作几乎与重新开始所需的时间一样长。
控制实施:善意与现实复杂性的结合
大多数开始 CMMC 准备的组织都已经采取了一些网络安全控制措施。差距分析确定了哪些控制措施缺失或仅部分实施,并且补救计划解决了这些差距。理论上,实施阶段只是部署正确的工具和配置的问题。
在实践中,实施是时间安排最出乎意料的地方。在需求文档中看起来很简单的技术控制通常具有直到部署过程中才可见的依赖关系。需要在范围内的每个系统和用户组中一致地配置多因素身份验证,如果例外情况持续存在于评估中,则在成为发现结果之前可接受的例外情况。访问控制策略需要在技术上实施,而不仅仅是记录下来,这可能需要更改影响日常操作的目录配置、系统权限和管理流程。
每一项实施任务都需要进行测试,以确认控制功能是否按预期运行。测试暴露了其他问题。这些问题需要修复。修复需要重新测试。这个周期是正常的,并且在任何严肃的合规计划中都是预期的,并且围绕最佳情况制定时间表的承包商所花费的时间是没有预算的。
没有人警告您的瓶颈
有一个完全超出组织控制范围的时间限制,大多数国防承包商直到准备好安排正式评估时才会发现这一点。相对于寻求认证的承包商数量而言,经过认证的第三方评估组织的供应量有限。
随着 CMMC 需求在国防供应链中不断扩展,对 C3PAO 评估的需求也显着增加。评估安排的等待时间延长了,完成内部准备后联系安排评估的承包商通常会发现可用日期还有几个月的时间。
这一瓶颈具有复合效应。完成内部准备,然后等待三四个月以获得评估时段的承包商可能会发现他们的一些文档需要更新,以反映等待期间环境的变化。内部审查时有效的控制措施可能需要重新验证。准备完成和评估之间的延迟会产生维护工作,使合规团队在日程推进的同时忙碌起来。
从这个瓶颈中得到的实际教训是,在必要的情况下尽早与潜在的评估员接触,最好是同时完成内部准备的后期阶段,以便在您真正需要之前安排正式的评估日期。
仓促的准备如何造成评估风险
当承包商发现他们的 CMMC 准备工作落后于计划时,本能地是加快剩余工作以满足原定期限。这种本能创造了自己的风险类别。
匆忙的文档是不一致的。 SSP、策略和实际技术环境之间的不一致是评估人员首先要识别的问题。与访问控制策略相矛盾的防火墙规则、显示培训计划存在之前的完成日期的培训记录,或者涵盖比策略要求更短的保留期的监控日志,都是仓促的文档可靠产生的结果。
未经充分测试而快速实施的控制措施可能无法在评估审查下发挥预期作用。涵盖大多数但不是全部所需系统的 MFA 部署,或者为准备评估而完成的访问审查流程,但没有持续运行的证据,会准确地创建导致有条件认证而不是全面认证的发现。
失败或有条件评估的成本几乎总是高于花费额外时间正确准备的成本。 POA&M 时间表下的补救、第二次评估工作以及合同资格的持续不确定性都导致了适当准备可以避免的代价。
现实的 CMMC 准备时间表是围绕您的实际差距分析结果制定的,而不是围绕行业平均水平。这是一个思考各个阶段及其实际持续时间的框架。
范围定义和差距分析:两到六周,具体取决于您环境的复杂性和审核的彻底性。这一步不能操之过急,否则会影响后续所有内容的准确性。
文档开发:六到十六周,具体取决于现有政策框架的成熟度以及需要新的或更新的文档的控制数量。没有现有正式文档的组织应该针对此范围的较长一端进行规划。
控制实施和测试:八到二十周,具体取决于差距分析中确定的差距的数量和复杂性。具有依赖性或操作影响的技术控制需要更长的时间来部署和验证。
员工培训:初次交付需要两到四个星期,在整个准备期间持续进行文件和记录管理。
内部准备情况审查:两到四个星期进行一次彻底的模拟评估,在仍有时间解决这些问题的同时,找出剩余的差距。
C3PAO 调度和评估:添加评估员可用的当前等待时间,该时间可以从几周到几个月不等,具体取决于您开始安排时的需求。
将这些阶段诚实地加在一起会产生一个总时间表,这让大多数认为该过程需要三到四个月的承包商感到惊讶。围绕实际阶段持续时间制定准备计划的承包商是那些在正式评估时做好准备的人,而不是满怀希望的人。
Mindcore Technologies 如何让您的时间表步入正轨
与经验丰富的合作伙伴合作加速 CMMC 准备的最一致的方法之一是消除延长组织单独行动时间的弯路。如果没有之前经历过该流程的团队的指导,范围定义错误、文档不一致、控制实施差距和内部准备审查监督都需要更长的时间才能发现和纠正。
迈芯科技带来超过30 年网络安全和 IT 经验帮助国防承包商进行 CMMC 准备工作。在领导下Matt Rosenthal,Mindcore Technologies 首席执行官,该团队帮助受监管行业的组织高效、准确地制定合规计划,避免因在流程后期发现问题而导致时间延长。
Mindcore 与承包商合作,从最初的差距分析到内部准备情况审查,保持准备工作正常进行,尽早发现问题并在不影响进度的情况下解决这些问题,并确保在进入下一个阶段之前准确完成流程的每个阶段。
迟开始的代价
开始 CMMC 准备工作每延迟一周,您的下一份合同需要认证时,您的认证就无法到位的风险就会增加一周。合同续签、新招标和主承包商要求不会等待比预期更长的准备时间。
最可靠地保护其合同资格的承包商是那些比他们认为需要的时间早得多开始准备过程的承包商,根据实际差距发现而不是乐观的估计制定时间表,并与知道如何保持流程高效进行的合作伙伴合作。
与 Mindcore Technologies 的免费咨询是了解您的组织实际情况以及适合您的特定环境的实际准备时间表的最快方法。
结论
CMMC 的准备时间比大多数承包商预期的要长,因为该过程比表面上看起来更彻底、更详细,并且更依赖于在进入下一个阶段之前正确完成每个阶段。这并不是感到沮丧的理由。这是一个更早开始、更准确计划并与了解时间风险所在的合作伙伴合作的原因,以免成为时间问题。
凭借 Mindcore Technologies 以及 30 多年的网络安全和 IT 专业知识为您的准备工作提供支持,您的时间表不必成为您的责任。
