CMMC April Town Hall 발표 내용 요약

안녕하세요 CYBER AB에서는 지난 5.30(한국시간)  Town Hall 행사를 한바 있습니다.   관련내용을 요약해 드리니 업무에 참고하세요

1.  CMMC 생태계

   - C3PAO: 67개 /  CCA: 345명 /   CCP: 712명

   - RPO: 348개 /   RPA: 210명  / RP: 1,694명

2. 용어 정리

   - CSP(Cloud Service Provider, 클라우드 서비스 제공자), MSP(Managed Service Providers,  관리형 서비스 제공자),    

      MSSP(Managed Security Service Provider, 관리형 보안 서비스 제공자)는 모두 ESP(외부 서비스 제공자)임

3.  비인증 평가(Non-Certification Assessments) 소개

   - 비인증 평가는 C3PAO가 OSA(조직 지원 활동, Organization Seeking Assessment)에 대해 전체 또는 일부 사이버보안 평가를 수행하되, 공식적인 인증의 발급 또는 거부로 이어지지 않는 활동을 의미합니다.

   - CMMC 평가를 원하는 조직은 다음과 같은 목적으로 C3PAO에게 비인증 평가를 요청할 수 있습니다:

• CMMC 자체 평가(self-assessment) 보고 의무를 충족하기 위한 참고로 사용
• 현재까지 진행된 CMMC 이행 수준에 대한 형식적이고 구조화된 제3자 평가를 받기 위해서

   - 레벨2 인증평가를  원하는 기업의 경우 사전 준비차원에서 비인증평가를 받아보는 것도 좋을듯 합니다. 비용과 평가 범위 등은 한국 CMMC 인증지원센터장(장경준, 010-3088-0357 / jkj@innotium.com)에게 연락 바랍니다.

4. 질의응답

   - 질문: CFR 48(CMMC 인증 제도를 강제하는 법률)  확정시점은 언제인가? 

      답변:  올해(2025년) 중

   - 질문:  사전 평가(pre-assessment)는 반드시 C3PAO가 해야 하나요? 아니면 CCA도 가능한가요?

      답변:  사전 평가는 마켓플레이스에서 RPO를 통해 진행하실 수 있습니다.

                 * 사전 평가에 대해서는 별도로 게시하겠습니다

   -  질문: 계약자가 자산을 CRMA(CUI가 없는 자산)로 지정한 후, 나중에 그 자산에서 CUI를 발견했다면, 이건 DFARS 7012 조항상 보고         대상 사고인가요?

       답변: 🗣️ Wayne Boline (오전 7:53) 제 의견으로는, 아닙니다.