Certificación CMMC, evaluaciones de nivel 1 y nivel 2: Lazarus Alliance es un C3PAO autorizado. Llame hoy +1 (888) 896-7580 !

Índice
Certificación CMMC y evaluación de nivel 2 – Lazarus Alliance C3PAO

El Departamento de Defensa de los Estados Unidos (DoD) creó el Certificación del Modelo de Madurez de Ciberseguridad (CMMC 2.0) Para proteger la Información de Contratos Federales (FCI) y la Información Controlada No Clasificada (CUI) en toda la Base Industrial de Defensa (DIB). A partir de finales de 2025, El cumplimiento de CMMC es obligatorio para cualquier contratista principal o subcontratista que presente ofertas o ejecute contratos del Departamento de Defensa que involucren datos confidenciales.

Lazarus Alliance es una organización de evaluación de terceros autorizada por CMMC (C3PAO) Autorizado por la Oficina de Ciberseguridad. Guiamos a los contratistas del Departamento de Defensa (DoD) a lo largo de todo el proceso de CMMC, desde determinar el nivel de certificación requerido (Nivel 1, Nivel 2 o Nivel 3) hasta obtener la certificación completa.

Así es como se ve trabajar con Lazarus Alliance:

  • A llamada de alcance de cortesía (+1 888-896-7580) para confirmar si necesita Nivel 1 (autoevaluación), Nivel 2 (certificación de terceros para CUI) o Nivel 3 (dirigido por el gobierno para programas de alto riesgo).
  • Una hoja de ruta de preparación personalizada y un análisis de brechas frente a los controles exactos NIST SP 800-171 (Nivel 2) o NIST 800-172 (Nivel 3) que debe cumplir.
  • Coordinación completa de la evaluación C3PAO por nuestros experimentados equipos Cybervisor™.
  • La certificación se otorga en el momento en que se demuestra la madurez requerida y los resultados se publican directamente en el Sistema de Riesgo de Desempeño de Proveedores (SPRS) del Departamento de Defensa.

Ya sea que se esté preparando para la implementación gradual de 2025 a 2028 o necesite certificación ahora para una próxima convocatoria, Lazarus Alliance ofrece evaluaciones CMMC rápidas, compatibles y sin estrés para que pueda Ganar y conservar contratos del Departamento de Defensa sin demoras por incumplimiento.

Certificación de modelo de madurez de ciberseguridad (CMMC)

El CMMC continúa verificando que los contratistas y subcontratistas del Departamento de Defensa implementen y mantengan prácticas de ciberseguridad para proteger los datos confidenciales en la Base Industrial de Defensa (BID). Se basa en estándares como NIST SP 800-171 (Rev. 2) y FAR 52.204-21, pasando de la autocertificación a evaluaciones verificables. A partir de octubre de 2025, los requisitos comenzarán a aparecer en las convocatorias del Departamento de Defensa, y su implementación completa se extenderá gradualmente durante tres años (hasta 2028).

Los tres niveles de CMMC

Los niveles se clasifican según el tipo y la sensibilidad de los datos gestionados (FCI para información contractual no sensible; CUI para información sensible pero no clasificada). Cada nivel especifica los requisitos de seguridad, los métodos de evaluación y la frecuencia:

  1. Nivel 1: Fundamento (Higiene Cibernética Básica para FCI)
    • Enfócate:Protege a FCI de amenazas básicas.
    • Requisitos:17 controles de seguridad básicos de FAR 52.204-21 (por ejemplo, limitar el acceso al sistema, usar antivirus, examinar a los usuarios).
    • AssessmentAutoevaluación anual, cuyos resultados se publican en el Sistema de Riesgo de Desempeño de Proveedores (SPRS). Sin participación de terceros.
    • AplicabilidadPara contratos que involucran únicamente FCI (no CUI). Se aplican exenciones a artículos comerciales listos para usar (COTS).
    • Cronograma:Se hará cumplir en las solicitudes que comiencen a finales de 2025.
  2. Nivel 2: Avanzado (Protección intermedia para CUI)
    • Enfócate:Protege a CUI contra amenazas cibernéticas comunes, alineándose estrechamente con los 110 controles de NIST SP 800-171.
    • Requisitos:Las 110 prácticas NIST 800-171 (por ejemplo, autenticación multifactor, planificación de respuesta a incidentes, protección de medios).
    • Assessment:Principalmente certificación de terceros por un Organización de evaluación de terceros CMMC (C3PAO) Cada tres años, con confirmaciones anuales. Se permiten autoevaluaciones para algunos contratos de menor riesgo mediante un Plan de Acción e Hitos (POA&M) para brechas menores (deben cerrarse en un plazo de 180 días).
    • AplicabilidadPara la mayoría de los contratos que gestionan CUI, este es el nivel más común para las organizaciones DIB.
    • CronogramaLas evaluaciones de terceros comienzan en octubre de 2026 para los contratos de mayor riesgo; las autoevaluaciones comienzan en 2025.
  3. Nivel 3: Experto (Defensa proactiva para casos de CUI de alto riesgo)
    • Enfócate:Defiende contra amenazas persistentes avanzadas (APT) con controles mejorados más allá NIST 800-171.
    • Requisitos:Todos los controles de nivel 2 más 24 adicionales NIST 800-172 prácticas (por ejemplo, detección avanzada de amenazas, gestión de riesgos en la cadena de suministro, técnicas de engaño).
    • AssessmentEvaluación dirigida por el gobierno a cargo del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC), basada en una certificación C3PAO de Nivel 2 previa. Cada tres años, con confirmaciones anuales.
    • Aplicabilidad:Para un pequeño subconjunto de contratos que involucran información CUI altamente sensible y crítica para la seguridad nacional.
    • Cronograma:Se implementará gradualmente a partir de 2026-2027, principalmente para programas seleccionados de alta prioridad.

Componentes clave

  • Dominios y prácticasOrganizado en 14 dominios (p. ej., Control de Acceso, Evaluación de Riesgos) con capacidades y prácticas específicas. Los niveles se desarrollan de forma acumulativa: el Nivel 3 incluye todo lo de los Niveles 1 y 2.
  • Puntuación y POA&MPara los niveles 2 y 3, se implementan las puntuaciones de evaluación (se requiere el 100 % para la certificación completa; se permiten puntuaciones parciales temporalmente mediante POA&M). El nivel 1 requiere el cumplimiento total de todos los controles.
  • AfirmacionesLos altos funcionarios deben afirmar anualmente el cumplimiento del SPRS durante todo el ciclo de vida del contrato.

Implementación y cronograma (a octubre de 2025)

  • Implementación por fases:
    • Fase 1 (2025):Cláusulas CMMC en ~5–15% de las solicitudes; enfoque en autoevaluaciones para los Niveles 1 y algunos Niveles 2.
    • Fase 2 (2026):~20–50% de los contratos; las evaluaciones de Nivel 2 de terceros aumentan.
    • Fase 3 (2027+):Todos los contratos aplicables; integración completa de Nivel 3.
  • Proceso de Certificación:Evaluaciones realizadas por C3PAO acreditados o DIBCAC; resultados válidos por tres años.
  • Aplicabilidad:Todos los contratistas principales y subcontratistas que manejan FCI/CUI; se transmite a través de cláusulas contractuales.
Cronograma de auditoría de nivel 2 de CMMC: Qué esperar de Lazarus Alliance

Cronograma de auditoría de nivel 2 de CMMC: Qué esperar de Lazarus Alliance

Los Auditoría de nivel 2 de CMMC (Avanzado/Intermedio) bajo el marco de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) está diseñado para organizaciones en la Base Industrial de Defensa (DIB) que manejan Información no clasificada controlada (CUI)—datos sensibles pero no clasificados en los contratos del Departamento de Defensa. Se centra en la protección contra ciberamenazas comunes mediante la alineación con todos 110 prácticas de NIST SP 800-171 Rev. 2 (por ejemplo, autenticación multifactor, planificación de respuesta a incidentes, protección de medios).

A diferencia del Nivel 1 (autoevaluado), el Nivel 2 generalmente requiere certificación de terceros por una C3PAO como Lazarus Alliance todas 3 años, en el que afirmaciones anualesLas autoevaluaciones están permitidas para los contratos de menor riesgo, pero las auditorías de terceros son estándar para la mayoría. Planes de acción e hitos (POA&Ms) Permitir pequeños espacios (deben cerrarse dentro de 180 días), permitiendo puntuaciones parciales temporalmente.

Lazarus Alliance, como organización certificada C3PAO, coordina todo el proceso utilizando nuestro Equipos de Cybervisor™ (con experiencia en miles de evaluaciones). Determinan sus necesidades exactas, realizan evaluaciones y otorgan la certificación al demostrar madurez en... Dominios 14 (por ejemplo, control de acceso, evaluación de riesgos). El cronograma general es 3 – 6 meses Desde la preparación hasta la certificación, según las brechas. Las certificaciones son válidas para 3 años, pero las afirmaciones anuales del SPRS son obligatorias.

Resumen clave

  • Requisitos:Implementación completa de 110 controles NIST; se necesita un puntaje del 100 % para la certificación (POA y M para problemas menores).
  • Tipo de evaluación:Terceros (C3PAO) cada 3 años; afirmaciones anuales en el Sistema de Riesgo de Desempeño de Proveedores (SPRS).
  • Impacto de la implementación del Departamento de Defensa: Inicio ejecutable 2025 (autoevaluaciones para algunos); las auditorías de terceros aumentan en Octubre 2026 Para contratos de mayor riesgo (Fases 2 y 3 hasta 2028). El incumplimiento lo excluye de las licitaciones relacionadas con la CUI.
  • Costo y experiencia con Lazarus: $20–$60+ por auditoría completa (varía según el alcance; apoyo de preparación: aproximadamente $10–$20). Sus equipos Cybervisor™ garantizan una eficiencia acorde con las normas del Departamento de Defensa.

Cronograma paso a paso: qué esperar

Este es el proceso por fases con Lazarus Alliance. Los plazos son estimaciones basadas en las directrices de CMMC y su enfoque coordinado.

Fase Duración Qué Esperar El papel de la Alianza Lázaro
1. Preparación y análisis de brechas 4-8 semanas - Evaluar la postura actual frente a 110 controles NIST. - Recopilar evidencia (políticas, configuraciones, registros) en 14 dominios. - Confirmar la aplicabilidad de Nivel 2 (manejo de CUI; sin exenciones para COTS). - Redactar POA&M para detectar brechas; implementar soluciones rápidas (por ejemplo, cifrado, auditoría). - Consulta gratuita (+1-888-896-7580 o formulario) para delimitar las necesidades. - El equipo de Cybervisor™ ejecuta una revisión de preparación y proporciona una hoja de ruta/plantillas. - Identificar si la autoevaluación o la evaluación de terceros son adecuadas.
2. Implementación y desarrollo de POA&M 4-8 semanas - Implementar controles (por ejemplo, gestión de acceso, capacitación sobre concientización). - Desarrollar y realizar un seguimiento de los POA y M para elementos no conformes (se requiere un cierre de 180 días). - Pruebas internas para simular una auditoría. - Orientación consultiva: revisar documentos, priorizar correcciones. - Los expertos de Cybervisor™ asesoran sobre la alineación con NIST; señalan los riesgos de escalada al Nivel 3.
3. Ejecución de la evaluación por parte de terceros 2-4 semanas Auditoría presencial/remota: El equipo de Lazarus evalúa la evidencia, entrevista al personal y prueba los sistemas. Califica las prácticas (aprobación parcial mediante POA&M); cubre todos los dominios. Sin interrupciones importantes: se realiza en etapas de días o semanas. - Programe y dirija una auditoría completa de C3PAO con los evaluadores de Cybervisor™. - Comentarios en tiempo real; gestione cualquier problema inmediato.
4. Resultados, certificación y publicación en SPRS 1-2 semanas - Recibir informe/puntaje final; cerrar cualquier POA&M final. - Enviar a SPRS; funcionario superior lo confirma. - Se otorga certificación si ≥100% (después del POA&M). - Emitir certificación válida por 3 años. - Ayudar en la carga/afirmación del SPRS; confirmar la visibilidad del Departamento de Defensa.
5. Mantenimiento y reevaluación continuos Anual + cada 3 años - Afirmaciones anuales en SPRS. - Monitorear cambios (por ejemplo, nuevos contratos CUI). - Re-auditoría cada 3 años. - Controles anuales de Cybervisor™ para garantizar el cumplimiento. - Alertas sobre actualizaciones del Departamento de Defensa; soporte continuo para la recertificación.

Contexto más amplio de implementación del Departamento de Defensa (afecta la aplicación del nivel 2)

  • 2025 (Fase 1):Autoevaluaciones para algunos de Nivel 2 en el 5–15% de las solicitudes.
  • 2026 (Fase 2):Auditorías de terceros obligatorias para contratos CUI de mayor riesgo (cobertura del 20 al 50%).
  • 2027+ (Fase 3):Universal para todos los contratos de manejo de CUI.

Posibles desafíos y consejos

  • Errores comunes: Retrasos o pruebas incompletas en el POA&M: uso del FedRAMP autorizó Continuum GRC ITAM SaaS A.ITAM, A.ITAMBot y plantillas ayudar a prevenir esto.
  • Mejora de niveles:Fácil transición al Nivel 3 (agrega NIST 800-172) si es necesario.
  • Apelaciones:Archivo dentro 14 días del informe (por ejemplo, por errores del evaluador); Lázaro reevalúa en 21 días A través de eMASS, según ISO/IEC 17020, sin represalias. Escalar a Cyber ​​AB en 10 días hábiles si es necesario.

Para obtener un cronograma personalizado, comuníquese con Lazarus Alliance al +1 (888) 896-7580; ofrecen consultas sin riesgos para alinearse con el lanzamiento de 2025+ y asegurar sus oportunidades en el Departamento de Defensa.

Certificación CMMC y evaluación de nivel 2 – Lazarus Alliance C3PAO

Preguntas frecuentes

Plazo típico: 3 a 6 meses desde el inicio hasta la certificación. Análisis de deficiencias (4 a 8 semanas) + corrección + finalización C3PAO Evaluación (2 a 4 semanas). Lazarus Alliance ha completado certificaciones de Nivel 2 en tan solo 10 semanas para clientes bien preparados.

  • Nivel 1: Solo información del contrato federal (FCI) → autoevaluación anual
  • Nivel 2: Información no clasificada controlada (CUI) → de terceros C3PAO certificación (la más común)
  • Nivel 3: Programas CUI de alto riesgo → Lazarus Alliance, liderada por el gobierno (DIBCAC), realiza una llamada de evaluación gratuita para confirmar su nivel exacto.

Como titular de Organización de evaluación de terceros certificada por CMMC (C3PAO)Lazarus Alliance coordina las evaluaciones, determina el nivel de certificación requerido según las necesidades de su negocio y realiza evaluaciones con equipos experimentados de Cybervisor™. Tras demostrar con éxito la madurez en las capacidades y procesos de ciberseguridad, otorgamos una certificación válida por tres años, con confirmaciones anuales.

El proceso implica: (1) Identificar su nivel con base en los datos manejados; (2) Implementar los controles requeridos (con Planes de Acción e Hitos para brechas menores en los Niveles 2/3); (3) Someterse a una evaluación por parte de un C3PAO (como Lazarus Alliance) para los Niveles 1 y 2 o DIBCAC para el Nivel 3; (4) Publicar resultados y afirmaciones en el Sistema de Riesgo de Desempeño de Proveedores (SPRS); y (5) Mantener el cumplimiento anualmente. Las certificaciones tienen una duración de tres años y su implementación completa se extenderá gradualmente hasta 2028.

Los requisitos de CMMC aparecerán en las solicitudes del Departamento de Defensa a partir de octubre de 2025, con una implementación gradual de tres años:

  • 2025 (Fase 1):5-15% de los contratos, centrándose en las autoevaluaciones para los Niveles 1 y algunos Niveles 2.
  • 2026 (Fase 2):20-50% de los contratos, aumentando las evaluaciones de Nivel 2 de terceros.
  • 2027+ (Fase 3):Integración completa en todos los contratos aplicables, incluido el Nivel 3. El incumplimiento impedirá que las organizaciones participen en licitaciones relevantes.

Todos los contratistas principales y subcontratistas del Departamento de Defensa que manejan FCI o CUI en el DIB deben cumplir con el nivel correspondiente. Esto incluye a la mayoría de las empresas relacionadas con la defensa, pero pueden aplicarse exenciones a los artículos comerciales listos para usar (COTS). Si su organización maneja datos confidenciales del Departamento de Defensa, incluso indirectamente a través de la cadena de suministro, la certificación es esencial.

CMMC 2.0 es el programa obligatorio de certificación en ciberseguridad del Departamento de Defensa de EE. UU. que protege la FCI y la CUI. Los requisitos empiezan a aparecer en los contratos del Departamento de Defensa a finales de 2025, y su plena aplicación en todos los contratos aplicables se producirá en 2028. El incumplimiento lo descalificará para participar en la licitación.

Lazarus Alliance ofrece servicios expertos de ciberseguridad, cumplimiento y gestión de riesgos, incluidas auditorías internacionales, evaluaciones federales y soluciones de gobernanza de TI, lo que garantiza que las empresas logren una seguridad sólida y un cumplimiento normativo.

Credenciales en las que puede confiar

Certificación CMMC y evaluación de nivel 2 – Lazarus Alliance C3PAO

Número de certificación acreditado ISO/IEC 2 de la Asociación Estadounidense de Acreditación de Laboratorios (A17020LA) 3822.01

Certificación CMMC y evaluación de nivel 2 – Lazarus Alliance C3PAO

Certificación del modelo de madurez de ciberseguridad (CMMC) del Departamento de Defensa (DoD) Organización de evaluación de terceros CMMC (C3PAO).

Habla con uno de nuestros expertos

Nuestros equipos de Lazarus Alliance Cybervisor™ tienen experiencia en la realización de miles de evaluaciones para organizaciones que brindan servicios a clientes de todo el mundo.

Estamos aquí para responder cualquier pregunta que puedas tener.

Descargue nuestro folleto de empresa.

Servicios de Lazarus Alliance

Beneficios del cumplimiento de CMMC

El cumplimiento de la CMMC (Certificación del Modelo de Madurez de Ciberseguridad) ofrece varias ventajas a las organizaciones, en particular a aquellas que trabajan con el Departamento de Defensa de EE. UU. (DoD) o que gestionan Información Controlada No Clasificada (CUI). A continuación, se presentan las principales ventajas:

  1. Acceso a los contratos del Departamento de DefensaEl cumplimiento del CMMC es obligatorio para las organizaciones que licitan o mantienen contratos con el Departamento de Defensa. Alcanzar el nivel CMMC requerido (1-3, según el contrato) garantiza la elegibilidad para trabajar con el Departamento de Defensa, lo que abre importantes oportunidades de negocio en el sector de defensa.
  2. Postura de ciberseguridad mejoradaCMMC proporciona un marco estructurado para implementar prácticas robustas de ciberseguridad. El cumplimiento normativo ayuda a las organizaciones a proteger datos confidenciales, como la información de usuario confidencial (CUI), contra ciberamenazas, reduciendo el riesgo de filtraciones de datos, ransomware y otros ataques.
  3. Ventaja CompetitivaDemostrar el cumplimiento de CMMC indica a clientes, socios y proveedores que su organización prioriza la ciberseguridad. Esto puede diferenciar a su empresa en un mercado competitivo, especialmente al licitar contratos que exigen altos estándares de seguridad.
  4. Mitigación de RiesgoAl cumplir con los requisitos de CMMC, las organizaciones reducen las vulnerabilidades y mejoran su capacidad para detectar, responder y recuperarse de incidentes cibernéticos. Esto minimiza los riesgos financieros, legales y de reputación asociados con las filtraciones de datos o las sanciones por incumplimiento.
  5. Confianza y credibilidad mejoradasEl cumplimiento de CMMC genera confianza con el Departamento de Defensa, otras agencias gubernamentales y socios comerciales. Demuestra un compromiso con la protección de la información confidencial, lo que fortalece la reputación de su organización como un socio seguro y confiable.
  6. Procesos de seguridad optimizadosCMMC fomenta la adopción de prácticas de ciberseguridad estandarizadas y repetibles. Esto se traduce en operaciones más eficientes, ya que las organizaciones implementan políticas, procedimientos y controles consistentes y adaptados a su nivel de madurez.
  7. Alineación con los estándares de la industriaCMMC se basa en marcos de referencia existentes como NIST 800-171, ISO 27001 y otros. El cumplimiento garantiza la alineación con estándares de ciberseguridad ampliamente reconocidos, lo que facilita el cumplimiento de otras regulaciones o certificaciones.
  8. Ahorro de costos a largo plazoSi bien lograr el cumplimiento de CMMC requiere una inversión inicial, puede reducir los costos asociados con incidentes cibernéticos, responsabilidades legales y pérdidas de negocios debido al incumplimiento. Un enfoque proactivo de ciberseguridad minimiza la probabilidad de interrupciones costosas.
  9. Escalabilidad y flexibilidadLos niveles de madurez escalonados de CMMC permiten a las organizaciones adaptar sus prácticas de ciberseguridad a la sensibilidad de los datos que manejan. Esto garantiza que las pequeñas y medianas empresas puedan lograr el cumplimiento normativo sin una demanda excesiva de recursos.
  10. Seguridad de la cadena de suministroEl cumplimiento de CMMC refuerza la seguridad general de la cadena de suministro del Departamento de Defensa al garantizar que todos los contratistas y subcontratistas cumplan con los estándares mínimos de ciberseguridad. Este esfuerzo colectivo reduce los riesgos sistémicos en toda la industria de defensa.

En resumen, el cumplimiento de CMMC no solo garantiza el acceso a los contratos del Departamento de Defensa, sino que también fortalece la ciberseguridad, la reputación y la eficiencia operativa de una organización, brindando beneficios inmediatos y a largo plazo. Para obtener detalles específicos sobre la implementación o los costos, las organizaciones pueden consultar recursos como el sitio web de CMMC del Departamento de Defensa o consultar con evaluadores certificados de CMMC como Lazarus Alliance.

Lazarus Alliance ofrece servicios expertos de ciberseguridad, cumplimiento y gestión de riesgos, incluidas auditorías internacionales, evaluaciones federales y soluciones de gobernanza de TI, lo que garantiza que las empresas logren una seguridad sólida y un cumplimiento normativo.

Preguntas, inquietudes, quejas y apelaciones

La administración de Lazarus Alliance revisa el proceso de resolución de disputas anualmente o cuando son necesarios cambios.

Requisitos administrativos generales

  1.  Los C3PAO autorizados y acreditados como Lazarus Alliance deberán tener un proceso documentado para recibir, evaluar y tomar decisiones sobre apelaciones de acuerdo con estos requisitos.ISO/IEC 17020 7.5.1)
  2. Una descripción del proceso interno de tramitación de apelaciones del C3PAO autorizado y acreditado deberá estar disponible para cualquier parte interesada que lo solicite. (ISO/IEC 17020 7.5.2)
  3. El proceso de tramitación de las apelaciones deberá incluir al menos los siguientes elementos y métodos:
    1. Una descripción del proceso del C3PAO autorizado o acreditado para recibir, validar, investigar la apelación y decidir qué acciones se deben tomar en respuesta a ella;
    2. El proceso para garantizar que un C3PAO autorizado o acreditado tome las medidas adecuadas de manera oportuna. (ISO/IEC 17020 7.6.1)
    3. El proceso para que los C3PAO autorizados o acreditados rastreen y registren las apelaciones, incluidas las acciones realizadas para resolverlas, consiste en ingresar los datos de las apelaciones en el Servicio de soporte de garantía de misión empresarial (eMASS) de CMMC.
    4. Los C3PAO autorizados y acreditados deberán acusar recibo de la apelación y proporcionar al apelante informes de progreso y el resultado. (ISO/IEC 17020 7.6.3)
  4. Los C3PAO autorizados y acreditados que reciban la apelación serán responsables de recopilar y verificar toda la información necesaria para validar la apelación. (ISO/IEC 17020 7.6.2)
  5. Todas las apelaciones presentadas por un OSC a un C3PAO autorizado o acreditado deberán ser revisadas y aprobadas por un asesor certificado o un miembro del personal de control de calidad que no participe en las actividades de inspección originales en cuestión.
  6. Las reevaluaciones y decisiones de C3PAO autorizadas o acreditadas sobre las apelaciones presentadas no darán lugar a ninguna acción discriminatoria contra ninguna persona u OSC que presente la apelación. (ISO/IEC 17020 7.5.5)

Apelaciones

  1. Al recibir un informe de evaluación final del C3PAO autorizado o acreditado, un OSC tiene derecho a apelar los resultados de una decisión de certificación de evaluación CMMC si el OSC cree que su falla se atribuyó a:

    1. Crimen

    2. Comportamiento poco ético,

    3. Error por parte del C3PAO Autorizado o Acreditado o de los evaluadores que realizaron la evaluación.

  2. Al recibir el informe final de evaluación de CMMC, una OSC tiene hasta 14 días calendario para presentar una apelación solicitando una mayor adjudicación del cumplimiento de las prácticas o procesos que la organización cuestiona con base en los criterios descritos en 5.1.

  3. Al recibir una apelación de la OSC, el C3PAO autorizado o acreditado registrará la apelación en CMMC eMASS y realizará una revisión de las prácticas o procesos en disputa.

  4. Tras recibir una apelación, el C3PAO Autorizado o Acreditado realizará una reevaluación en coordinación con el OSC. La investigación del C3PAO podrá incluir una revisión de la evidencia previamente presentada por el OSC, la cual ha sido analizada por este, y consultas con el equipo de evaluación original y el personal del OSC, según sea necesario.

  5. Al recibir la apelación, el C3PAO autorizado o acreditado tendrá 21 días calendario para realizar su reevaluación de las prácticas y procesos en disputa y proporcionar su decisión de adjudicación a la OSC. Simultáneamente, el C3PAO autorizado o acreditado deberá cargar la siguiente información en CMMC eMASS:

    1. Cualquier modificación a su informe de evaluación original basada en las conclusiones de su reevaluación

    2. Nombre del líder del equipo que lleva a cabo la reevaluación en apoyo de la apelación

    3. El resultado de la apelación

    4. La autoridad de aprobación de la C3PAO para la reevaluación y el resultado de la apelación

  6. Si la OSC refuta u objeta la decisión de la C3PAO sobre su Apelación de Evaluación, podrá presentar su apelación ante la Oficina de Apelaciones Cibernéticas. La OSC debe presentar su apelación ante la Oficina de Apelaciones Cibernéticas dentro de los diez (10) días hábiles siguientes a la recepción por escrito de la decisión de la C3PAO sobre su Apelación de Evaluación.

    Todas las apelaciones presentadas por el Comité de Ética y Cumplimiento de The Cyber ​​AB son definitivas.

Formulario de preguntas, inquietudes, quejas y apelaciones

Queremos ser tu socio y Organización de evaluación de terceros CMMC (C3PAO) ¡El asesor de auditoría de cumplimiento de su elección! Para más información, llame al + 1 (888) 896-7580.

 

¿Quieres adelantarte para recibir una cotización? Complete nuestro cuestionario aquí: