무엇이 궁금하신가요?
자주묻는질문

자주묻는질문 4
프로필 이미지
조회 185

업체명으로 확인이 가능합니다. 절차는 다음과 같습니다.

[CAGE 코드 확인 절차]

1. CAGE 사이트 접속하기

2. SEARCH & INQUIRY 페이지로 이동

3. 업체명 입력

① 번은 업체 CAGE 코드를 알고 있다면 입력합니다. 그러면 하단에 업체 정보가 나오는데 영문 사업자등록의 업체명, 주소 등이 철자 하나 틀리지 않고 일치해야 합니다. 한 글자라도 틀리면 오류가 발생하며 방위사업체 CAGE 코드 담당자에게 수정해 달라는 공문을 보내야 합니다. 조금 더 상세한 내용은 한국CMMC인증지원센터로 직접 문의 바랍니다.

② 번은 CAGE 코드를 찾을 때 사용합니다. 영문 업체명을 입력하면 CAGE 코드가 등록되어 있는 경우 하단에 업체 정보가 나타납니다.

① 번은 CAGE 코드가 나타나고 ②번 Details를 클릭하면 상세한 업체 정보를 확인할 수 있습니다.

프로필 이미지
조회 130

미국 국방부 또는 미국 방산업체와 계약하기 전에 미국 측에서 인증 레벨을 알려줍니다.

프로필 이미지
조회 117

CMMC는 미.국방부와 계약하는 업체 및 그 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분하여 인증을 받아야 하는 제도입니다. 업체가 연방계약정보(FCI : Federal Contract Information)만 취급하는 경우에는 CMMC 1등급 인증을 취득해야 하고, 업체가 통제필요정보(CUI : Controlled Unclassified Information)를 취급하는 경우에는 정보의 중요도에 따라 CMMC 2등급 또는 3등급 인증을 취득해야 계약이 가능합니다.


  우리나라 대부분의 업체들은 미.국방부(DoD)와 직접 계약을 하지 않고 미. 방산업체 등을 통해서 간접 계약을 하는 하청업체인데 그럼에도 불구하고 우리나라 업체들이 미국의 CMMC 인증을 받아야 하는 법적 근거는 무엇인가라는 질문을 많이 하고 있어 법적 근거를 안내하니 업무에 참고하시기 바랍니다.


CMMC에 대한 흐름을 보면

  - 미. 국방부는 2020년 9월 연방 관보에 CMMC 1.0에 대한 초기 비전을 실행하는 임시 규칙을 국방 연방 조달규정 추가조항(DFARS, Defense Federal Acquisition Regulation Supplement) 2019-D041로 발표하고 프레임워크(계층화된 모델, 필수 평가 및 계약을 통한 시행)의 기본적인 특징을 설명했습니다. 임시 규칙은 2020년 11월 30일에 발효되어 5년간의 단계적 시행 기간이 설정되었습니다.

    . 임시 규칙에는 2021년부터 미국 국방부와 계약을 체결하는 업체 중, FCI만을 취급할 때는 1등급 자체심사를 요구하고 CUI까지 다룰 때는  최        소 2등급 인증을 요구한다는 내용이 담겨져 있습니다.


  - 미. 국방부는 2021.11 CMMC 1.0에 대한 의견수렴 결과를 반영한 CMMC 2.0을 발표하였는데 주요변경 사항은 아래와 같습니다.

    . 모델을 5개에서 3개 인증 수준으로 간소화.

    .  레벨 1의 모든 회사와 레벨 2의 일부 회사가 자체 평가를 통해 규정 준수 여부를 입증하도록 허용한것 등입니다.


위와 같이 CMMC의 흐름에 관해 간략히 알아보았고 실제 미. 국방부 CIO(Chief Information Officer) 홈페이지에 게제된 하청업체가 CMMC 인증을 받아야 하는 근거 원문과 번역본을 올리니 첨부 파일을 참고하시기 바랍니다.



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



프로필 이미지
조회 111

컨설팅은 회사 전체를 대상으로 하지 않고 FCI/CUI가 저장, 처리되는 물리적 장소와 정보시스템에만 해당됩니다. 이 범위도 레벨 수준에 따라 조금씩 다르므로 컨설턴트와 협의 하에 범위를 결정하게 됩니다.

프로필 이미지
조회 132

컨설팅 비용은 레벨 수준과 평가 대상 업체의 규모에 따라 전문 컨설턴트와 협의에 의해 결정됩니다.

프로필 이미지
조회 165

레벨 1 : 17개 이행과제에 대한 업체 자체 심사 후 SPRS (Supplier Performance Risk System, 미국 국방부(DoD)의 공급 업체 성능 및 위험 평가 시스템)에 등록

레벨 2 : 110개 이행과제에 대한 자체 심사 대상이 있고, 미국 C3PAO (인증 심사기관)에 의한 인증 심사 평가 2가지 유형이 있다.

레벨 3 : 134개 이행과제에 대한 미국 국방부 DIBCAC (방산 사이버보안 평가 센터)에서 직접 평가한다.