为IoT在美国的角色遵守方面的作用

确认每个网络安全成熟度级别

即使一个组织目前没有与美国政府合同，也很了解每个级别的网络安全成熟以及如何申请相同的原则，以便将相同的原则加强现有的物联网安全战略。

CMMC分为五个成熟度级别，从基本网络安全卫生到高级网络安全卫生。所有与国防部签订合同的公司至少都需要遵守1级标准——即使它们不处理受控制的非机密信息——尽管具体要求的合规级别将列在提案申请。

CMMC级别1。这个级别不评估过程成熟度，但它确定组织是否简单地执行政府政策中建立的基本保障需求的指定实践。组织可能会特别实施实践，或者不完全记录它们。

CMMC级别2。第二层需要更严格的数据保护实践文档，以及相关的组织策略。文档使流程可在组织内跨业务功能重复。

CMMC三级。这是第一次到期一级，专注于通过满足详细计划中概述的安全要求来保护受控的未分类信息（CUI），其中包括组织如何建立，维护，资源和实施安全活动。

CMMC四级。第四个层次要求组织衡量其安全实践的有效性，并在必要时监测纠正行动。4级基于CUI保护要求，以及其他先进的网络安全检测和响应能力。

CMMC 5级。该级别优先考虑整个组织的网络安全实践优化和标准化。通过先进的测量和监控，承包商可以主动识别CUI威胁。

理解CMMC标准

在每个CMMC级别中，国防部承包商必须符合17个域的各种标准水平。整个组织的IOT部署触及大多数这些域。CISOS必须完全了解数据治理和IOT架构内的数据流动，以便准确衡量合规性。CMMC还包括其他标准，参考和来源的其他实践和流程，例如NIST 800 - 171。

CMMC的第一个领域是访问控制。根据政府文件，访问控制策略在IT系统中，在IT系统中的活动主题（如用户和被动实体）之间的详细访问级别。它管理员可以在设备和应用程序级别实现访问权限，以提高安全性。

CMMC准备的特定IOT建议包括控制哪些员工可以查看IOT网络，限制公司计算机可以访问的IOT设备，以及防止未经授权用户，设备和应用程序从网络连接的INT基础架构设置。

组织需要网络设备的可见性来检测风险，当它们出现时，并优先考虑运营中的潜在威胁。

使物联网达到CMMC标准的技巧

所有域的CMMC符合性才能完全安全的IOT网络。组织需要网络设备的可见性来检测风险，当它们出现时，并优先考虑运营中的潜在威胁。CISOS和其他网络安全领导人可以为CMMC做好准备：

1. 进行内部审计，以发现网络中的所有设备，包括嵌入式设备。可见性是制定网络安全防御计划和减少威胁的第一步。
2. 了解物联网设备与其他设备和网络的通信架构。确保设备的数据采集和通信符合要求，并考虑网络细分以提高安全性。跟踪流量基线和图表模式，以便在检测到潜在威胁时进行比较。
3. 将物联网视为其自身的安全挑战，使用独立的分析软件和过程来跟踪硬件和机器性能异常。通常，针对传统IT系统的威胁与针对物联网设备和网络的威胁是不同的，所以考虑一种可以弥补这一监控缺口的分析软件。
4. 了解IoT网络漏洞以及安全协议。根据每年更新的开放式Web应用程序安全项目十大IOT漏洞，包括密码不安全、网络服务和生态系统接口不安全、缺乏安全的更新机制、隐私保护不足以及数据传输和存储不安全。

政府机构预计第三方评估组织很快就开始审计，并初步关注总承包商。但是，分包商不是钩子。当他们处理类似的信息安全级别时，各种规模的分包公司也必须符合与主要承包商相同的CMMC级别。审计员评估整个网络的IOT问责制，因为威胁缓解是至关重要的。