Cyber Security Maturity Model Certification (CMMC)

Öka säkerheten och synligheten i hela kedjan

Säkerhet i leverantörskedjan är idag en av industrins främsta utmaningar. Det gäller många branscher, kanske framför allt försvarsindustrin. CMMC (Cyber Security Maturity Model Certification) är ett ramverk som definierats av amerikanska försvarsdepartementet i syfte att höja cybersäkerheten hos de företag som levererar lösningar till USA:s försvar. Certifiering mot denna modell kommer att krävas av alla företag som ingår i denna leverantörskedja, uppskattningsvis runt 350.000 företag, för att skydda känslig oklassificerad information (CUI=Controlled Unclassified Information). Inom kort kommer certifiering att krävas för att få delta i upphandlingar så det är hög tid att påbörja en implementering. Syftet med certifieringen är att öka säkerheten och motständskraften i hela kedjan.

CMMC bygger på andra standarder och ramverk såsom NIST 800-171, NIST 800-53, CSF, ISO 27002, CIS v7 och Secure Controls Framework och är utvecklad av amerikanska försvaret tillsammans med industrin och akademin. Modellen bygger på fem olika mognadsnivåer som representerar ett företags säkerhetsnivå i form av teknik, processer och beteende. Nivå 1 innebär en basnivå av cybersäkerhet medan nivå 5 är en avancerad nivå.

DFARS, som är det regelverk som styr statlig upphandling inom försvarsområdet i USA har under slutet av 2020 gett ut ett antal interim-regler för att snabba upp implementeringen av det nya ramverket. Det innebär bl a att leverantörer måste genomföra och rapportera en självskattning (self assessment) gentemot NIST 800-171. Resultatet av självskattningen ska rapporteras i DoD’s Supplier Performance Risk System (SPRS).

Fakta om Cyber Security Maturity Model Certification

 • Version 1.0 av standarden publicerades 31 januari 2020.
 • Obligatoriskt för alla företag som vill göra affärer med amerikanska försvaret.
 • Giltig from hösten 2020. Om inte efterlevnad kan påvisas kan företag uteslutas från upphandlingar.
 • Det finns fem mognadsnivåer att certifiera sig emot. Vilken nivå som är aktuell avgörs vid respektive upphandling men beror på typ av verksamhet och behov av skydd.
 • Certifiering krävs av en oberoende tredje part.

Vår expertis & kompetens inom CMMC

 • Vi kan stödja vid genomförande av självskattning gentemot NIST 800-171 samt vid kravställning/uppföljning mot samarbetspartners i leverantörskedjan.
 • Combitech kan bistå med metodik och modeller för inventering och dokumentation av CUI-information. Vi kan också bistå vid rådgivning generellt vad gäller FAR/DFARS och CMMC.
 • Combitech är en oberoende konsultorganisation som inte agerar certifierare inom detta område utan bistår företag med kompetens och vägledning till en CMMC-efterlevnad.
 • Vi har en bred kompetens inom hela cybersäkerhetsområdet och inom systemsäkerhet. Bägge aspekterna omfattas av CMMC. Vi kan stödja en organisation genom hela införandet fram till certifiering och i det kontinuerliga säkerhetsarbetet.
 • Vi har bred erfarenhet av de standarder och ramverk inom Cybersäkerhet som ingår i CMMC.
 • Combitech har djup teknisk kompetens inom samtliga berörda kontrollområden och kan bistå i en komplett implementering.

Tjänsteerbjudande

Combitech arbetar med en sex-stegsmodell för införande och efterlevnad mot CMMC. Modellen anpassas tillsammans med kunden för att möta de specifika behov som finns.

Exempel på tillvägagångssätt:

1. Definiera mål och omfattning

2. Starta med verksamhetsanalys och nulägesanalys

3. Identifiera GAP och brister mot kontrollerna i vald nivå av CMMC. Såväl teknik, processer som organisation och medvetenhet inkluderas.

4. Ta fram en plan för efterlevnad av CMMC. Identifierade gap och brister ska tas om hand. Exempel på grundläggande områden i CMMC - se modellen till vänster

5. Skapa en organisation för omhändertagande av brister och säkerställande av efterlevnad.

6. Implementera planen och säkerställ kontinuerlig efterlevnad bl a genom integration av åtgärder i befintliga processer.

Läs mer om: