“사이버 보안 성숙도 모델 인증(CMMC, Cybersecurity Maturity Model Certification)”은 미국방부가 발주하는 사업에 참여하기 위해 요구되는 자격제도로 미국방부의 계약기관이나 그 외 CMMC 인증을 필요로 하는 조직은 “CMMC-인정기관(CMMC-AB, CMMC Accreditation Body)”으로부터 CMMC 인증심사 및 교육을 받을 수 있습니다.
1. CMMC 인증심사 절차
CMMC 인증심사를 받으려는 조직은 최소 6개월 전에는 준비를 시작하는 것이 좋습니다. 인증받고자 하는 단계를 정하고 해당 단계에서 요구하는 사항에 대해 준비를 하는데, 가능하면 CMMC-인증기관으로부터 교육을 받은 전문가에게 안내받을 것을 추천합니다.
CMMC 인증심사는 CMMC-인정기관으로부터 심사 권한을 부여받은 CMMC-인증기관(C3PAO, CMMC Third-Party Assessor Organization)에 의뢰하여 받을 수 있습니다.
[CMMC 심사 절차]
2. CMMC 인증심사 내용
CMMC 인증심사에 걸리는 기간은 피심사 조직의 규모나 목표 단계 등에 따라 달라집니다.
인증심사는 문서검토와 주요 업무담당자에 대한 인터뷰 그리고 테스트를 수행하며, 검토 대상 문서유형은 다음과 같습니다.
- 정책, 프로세스 및 절차서
- 교육 자료
- 계획서 및 계획수립 관련 문서
- 시스템 레벨, 네트워크 및 데이터 흐름 다이어그램
- 요구되는 활동이나 작업이 수행되었음을 입증할 수 있는 자료
인터뷰는 목표하는 CMMC 단계에서 요구하는 프랙티스가 제대로 이행될 수 있도록 적절한 자원이 제공되고 교육이 시행되었으며, 계획에 따라 작업이 진행되고 있는지를 확인하기 위한 것으로 해당 프랙티스의 이행을 담당하는 조직 구성원(관리자와 실무자)을 중심으로 수행합니다.
문서는 요구되는 프랙티스에 대한 감사증적을 제공하고 인터뷰는 피심사 조직의 구성원이 프랙티스를 어떻게 이행했는지를 파악할 수 있게 해줍니다. 그리고 테스트는 요구되는 프랙티스가 실제로 이행되었는지 그렇지 않은지를 보여줍니다. 예를 들어, 피심사 조직의 직원은 사용자 식별 방법에 관해 이야기할 수 있고 문서는 사용자 식별 방법에 대한 세부 정보를 제공할 수 있지만 사용자 식별 데모를 보면 프랙티스가 충족되었는지를 더 명확하게 확인할 수 있습니다. 모든 프랙티스에 테스트가 필요한 건 아니며, CMMC 심사원이 데모나 테스트가 필요한 프랙티스를 결정합니다.
저희 TQMS는 CMMC-인증기관(C3PAO)과 제휴하여 CMMC 인증심사를 위한 컨설팅 및 심사 코디네이션 서비스를 제공해 드립니다. CMMC 인증심사에 대한 보다 상세한 정보를 원하시면, 티큐엠에스 대표메일(tqms@tqms.co.kr)로 문의하시기 바랍니다.