Certification CMMC, évaluations de niveau 1 et de niveau 2 – Lazarus Alliance est un organisme C3PAO agréé.. Appeler +1 (888) 896-7580 dès aujourd'hui !

Table des Matières
Certification CMMC et évaluation de niveau 2 – Lazarus Alliance C3PAO

Le département américain de la Défense (DoD) a créé le Certification du modèle de maturité en cybersécurité (CMMC 2.0) afin de protéger les informations relatives aux contrats fédéraux (FCI) et les informations non classifiées contrôlées (CUI) sur l'ensemble de la base industrielle de défense (DIB). À compter de fin 2025, La conformité CMMC est obligatoire pour tout entrepreneur principal ou sous-traitant qui soumissionne ou exécute des contrats du ministère de la Défense impliquant des données sensibles.

Lazarus Alliance est un organisme d'évaluation tiers agréé CMMC (C3PAO). Autorisé par le Cyber ​​AB. Nous accompagnons les entreprises sous contrat avec le ministère de la Défense tout au long du processus CMMC, depuis la détermination du niveau de certification requis (niveau 1, niveau 2 ou niveau 3) jusqu'à l'obtention de la certification complète.

Voici à quoi ressemble une collaboration avec Lazarus Alliance :

  • A appel de cadrage gratuit (+1 888-896-7580) pour confirmer si vous avez besoin du niveau 1 (auto-évaluation), du niveau 2 (certification par un tiers pour les CUI) ou du niveau 3 (dirigé par le gouvernement pour les programmes à haut risque).
  • Une feuille de route de préparation sur mesure et une analyse des écarts par rapport aux contrôles NIST SP 800-171 (niveau 2) ou NIST 800-172 (niveau 3) exacts que vous devez respecter.
  • Coordination complète de l'évaluation C3PAO par nos équipes expérimentées Cybervisor™.
  • La certification est accordée dès que vous démontrez la maturité requise – les résultats étant directement publiés dans le système d'évaluation des risques liés à la performance des fournisseurs (SPRS) du ministère de la Défense.

Que vous vous prépariez au déploiement progressif 2025-2028 ou que vous ayez besoin d'une certification dès maintenant pour un appel d'offres à venir, Lazarus Alliance propose des évaluations CMMC rapides, conformes et sans stress pour vous permettre de… remporter et conserver les contrats du ministère de la Défense sans retards de mise en conformité.

Certification du modèle de maturité de cybersécurité (CMMC)

Le CMMC continue de s'assurer que les prestataires et sous-traitants du DoD mettent en œuvre et maintiennent des pratiques de cybersécurité pour protéger les données sensibles de la base industrielle de défense (DIB). Il s'appuie sur des normes telles que NIST SP 800-171 (Rév. 2) et FAR 52.204-21, passant de l'auto-attestation à des évaluations vérifiables. Depuis octobre 2025, les exigences commencent à apparaître dans les appels d'offres du DoD, avec un déploiement complet échelonné sur trois ans (jusqu'en 2028).

Les trois niveaux CMMC

Les niveaux sont hiérarchisés selon le type et la sensibilité des données traitées (FCI pour les informations contractuelles non sensibles ; CUI pour les informations sensibles mais non classifiées). Chaque niveau précise les exigences de sécurité, les méthodes d'évaluation et la fréquence.

  1. Niveau 1 : Fondamental (Hygiène cybernétique de base pour FCI)
    • Focus:Protège le FCI des menaces de base.
    • Exigences:17 contrôles de sécurité de base du FAR 52.204-21 (par exemple, limiter l'accès au système, utiliser un antivirus, filtrer les utilisateurs).
    • ÉvaluationAuto-évaluation annuelle, dont les résultats sont publiés dans le Système de gestion des risques liés à la performance des fournisseurs (SPRS). Aucune intervention de tiers.
    • ApplicabilitéPour les contrats impliquant uniquement des FCI (sans CUI). Des exemptions s'appliquent aux articles commerciaux standard (COTS).
    • Forum:Applicable aux appels d'offres à compter de fin 2025.
  2. Niveau 2 : Avancé (Protection intermédiaire pour CUI)
    • Focus:Protège CUI contre les cybermenaces courantes, en s'alignant étroitement sur les 110 contrôles du NIST SP 800-171.
    • Exigences:Toutes les 110 pratiques NIST 800-171 (par exemple, authentification multifacteur, planification de la réponse aux incidents, protection des supports).
    • Évaluation: Principalement une certification par un tiers Organisme d'évaluation tiers CMMC (C3PAO) Tous les trois ans, avec des affirmations annuelles. Des auto-évaluations sont autorisées pour certains contrats à faible risque via un plan d'action et d'étapes clés (POA&M) pour les écarts mineurs (qui doivent être comblés dans un délai de 180 jours).
    • Applicabilité:Pour la plupart des contrats traitant des CUI. Il s'agit du niveau le plus courant pour les organisations DIB.
    • Forum:Les évaluations par des tiers débuteront en octobre 2026 pour les contrats à risque élevé ; les auto-évaluations débuteront en 2025.
  3. Niveau 3 : Expert (défense proactive pour les CUI à haut risque)
    • Focus: Protège contre les menaces persistantes avancées (APT) grâce à des contrôles améliorés. NIST800-171.
    • ExigencesToutes les commandes de niveau 2, plus 24 commandes supplémentaires. NIST800-172 pratiques (par exemple, détection avancée des menaces, gestion des risques liés à la chaîne d'approvisionnement, techniques de tromperie).
    • ÉvaluationÉvaluation menée par le gouvernement par le Centre d'évaluation de la cybersécurité de la base industrielle de défense (DIBCAC), s'appuyant sur une certification C3PAO de niveau 2 antérieure. Tous les trois ans, avec confirmations annuelles.
    • Applicabilité:Pour un petit sous-ensemble de contrats impliquant des CUI hautement sensibles et essentiels à la sécurité nationale.
    • Forum: Mise en œuvre progressive à partir de 2026-2027, principalement pour certains programmes hautement prioritaires.

Composants clés

  • Domaines et pratiquesOrganisé en 14 domaines (par exemple, contrôle d'accès, évaluation des risques) avec des capacités et des pratiques spécifiques. Les niveaux sont cumulatifs : le niveau 3 comprend tous les niveaux 1 et 2.
  • Notation et POA&MPour les niveaux 2 et 3, mise en œuvre des scores d'évaluation (100 % requis pour la certification complète ; scores partiels autorisés temporairement via les POA&M). Le niveau 1 exige que tous les contrôles soient pleinement respectés.
  • Affirmations:Les hauts fonctionnaires doivent confirmer chaque année leur conformité au SPRS tout au long du cycle de vie du contrat.

Mise en œuvre et calendrier (à compter d'octobre 2025)

  • Déploiement progressif:
    • Phase 1 (2025):Clauses CMMC dans environ 5 à 15 % des appels d’offres ; se concentrer sur les auto-évaluations pour les niveaux 1 et certains niveaux 2.
    • Phase 2 (2026):~20 à 50 % des contrats ; les évaluations de niveau 2 par des tiers augmentent.
    • Phase 3 (2027+):Tous les contrats applicables ; intégration complète de niveau 3.
  • Processus de certification:Évaluations par des C3PAO accrédités ou DIBCAC ; résultats valables trois ans.
  • Applicabilité:Tous les entrepreneurs principaux et sous-traitants gérant les FCI/CUI ; les flux descendants se font via des clauses contractuelles.
Calendrier d'audit CMMC niveau 2 : À quoi s'attendre avec Lazarus Alliance

Calendrier d'audit CMMC niveau 2 : À quoi s'attendre avec Lazarus Alliance

Le Audit CMMC de niveau 2 Le niveau avancé/intermédiaire du modèle de certification de maturité en cybersécurité (CMMC) est conçu pour les organisations de la base industrielle de défense (DIB) qui gèrent Informations contrôlées non classifiées (CUI)— des données sensibles mais non classifiées dans les contrats du ministère de la Défense. L'objectif est de se protéger contre les cybermenaces courantes en s'alignant sur l'ensemble des 110 pratiques NIST SP 800-171 Rév. 2 (par exemple, l'authentification multifacteurs, la planification de la réponse aux incidents, la protection des médias).

Contrairement au niveau 1 (auto-évaluation), le niveau 2 requiert généralement une évaluation. certification par un tiers par une C3PAO comme Lazarus Alliance chaque 3 ans(la prise en charge affirmations annuellesLes auto-évaluations sont autorisées pour les contrats à faible risque, mais les audits par des tiers sont la norme pour la plupart. Plans d'action et jalons (PAJ) tolérer de légers écarts (doivent être refermés dans un délai raisonnable) 180 jours), autorisant temporairement des scores partiels.

Lazarus Alliance, en tant que certifié C3PAO, coordonne l'ensemble du processus en utilisant notre équipes Cybervisor™ (Forts d'une expérience de plusieurs milliers d'évaluations), ils déterminent vos besoins précis, réalisent des évaluations et délivrent une certification après avoir démontré votre maturité. Domaines 14 (par exemple, contrôle d'accès, évaluation des risques). Le calendrier global est le suivant : 3 – 6 mois De la préparation à la certification, selon les besoins. Les certifications sont valables pour 3 ansmais les affirmations annuelles auprès du SPRS sont obligatoires.

Aperçu des clés

  • Exigences: Mise en œuvre complète des 110 contrôles NIST ; score de 100 % requis pour la certification (POA&M pour les problèmes mineurs).
  • Type d'évaluation: Audit par un tiers (C3PAO) tous les 3 ans ; affirmations annuelles dans le Système de gestion des risques liés à la performance des fournisseurs (SPRS).
  • Impact du déploiement du DoD: Début exécutoire 2025 (auto-évaluations pour certains) ; les audits par des tiers s'intensifient dans Octobre 2026 pour les contrats à risque plus élevé (phases 2 et 3 jusqu'en 2028). Le non-respect de cette obligation vous exclut des appels d'offres liés aux informations non classifiées contrôlées.
  • Coût et expertise avec LazarusDe 20 000 $ à plus de 60 000 $ pour un audit complet (le prix varie selon l’étendue du projet ; les frais de préparation s’élèvent à environ 10 000 $ à 20 000 $). Leurs équipes Cybervisor™ garantissent une efficacité conforme aux exigences du ministère de la Défense.

Chronologie étape par étape : à quoi s’attendre

Voici le processus par étapes avec Lazarus Alliance. Les délais sont des estimations basées sur les directives CMMC et leur approche coordonnée.

phase Durée À quoi s'attendre Le rôle de l'Alliance Lazarus
1. Préparation et analyse des écarts 4-8 semaines - Évaluer la conformité actuelle aux 110 contrôles NIST. - Recueillir des preuves (politiques, configurations, journaux) dans 14 domaines. - Confirmer l'applicabilité du niveau 2 (gestion des informations non classifiées contrôlées ; aucune exemption pour les logiciels commerciaux sur étagère). - Rédiger des plans d'action et de mesures correctives pour combler les lacunes ; mettre en œuvre des actions rapides (ex. : chiffrement, audit). - Consultation gratuite (+1-888-896-7580 ou formulaire) pour définir vos besoins. - L'équipe Cybervisor™ réalise une analyse de préparation et fournit une feuille de route et des modèles. - Détermination de la pertinence d'une auto-évaluation ou d'une évaluation par un tiers.
2. Mise en œuvre et élaboration du plan d'action et de suivi 4-8 semaines - Déploiement de contrôles (ex. : gestion des accès, formations de sensibilisation). - Élaboration et suivi des plans d’action et de correction pour les éléments non conformes (clôture requise sous 180 jours). - Tests internes pour simuler un audit. - Recommandations : Examiner la documentation et prioriser les correctifs. - Les experts de Cybervisor™ fournissent des conseils sur la conformité aux normes NIST et signalent les risques d’escalade au niveau 3.
3. Exécution de l'évaluation par un tiers 2-4 semaines Audit sur site/à distance : l’équipe Lazarus évalue les preuves, interroge le personnel et teste les systèmes. Évaluation des pratiques (validation partielle via les plans d’action et de correction) ; tous les domaines sont couverts. Aucune perturbation majeure : l’audit est échelonné sur plusieurs jours/semaines. - Planifier et mener un audit C3PAO complet avec les évaluateurs Cybervisor™. - Fournir un retour d'information en temps réel et traiter les problèmes immédiats.
4. Résultats, certification et affectation SPRS 1-2 semaines - Réception du rapport/score final ; clôture des derniers POA&M. - Publication dans le SPRS ; validation par un responsable supérieur. - Certification accordée si le score est ≥ 100 % (après POA&M). - Délivrer une certification valable 3 ans. - Assister au téléchargement/à la validation SPRS ; confirmer la visibilité auprès du DoD.
5. Maintenance et réévaluation continues Annuel + tous les 3 ans - Confirmations annuelles dans SPRS. - Suivi des changements (ex. : nouveaux contrats CUI). - Réaudit tous les 3 ans. - Contrôles annuels Cybervisor™ pour le maintien de la conformité. - Alertes sur les mises à jour du ministère de la Défense ; assistance à la recertification sans interruption.

Contexte de déploiement plus large du ministère de la Défense (concerne l'application de la loi de niveau 2)

  • 2025 (Étape 1): Auto-évaluations pour certains niveaux 2 dans 5 à 15 % des demandes.
  • 2026 (Étape 2): Audits par un tiers obligatoires pour les contrats CUI à risque plus élevé (couverture de 20 à 50 %).
  • 2027+ (Phase 3)Universel pour tous les contrats de gestion des CUI.

Défis potentiels et conseils

  • Pièges courants: Retards ou preuves incomplètes dans le cadre d'une procuration et d'une mesure administrative — Utilisation de Continuum GRC ITAM SaaS autorisé par FedRAMP A.ITAM, A.ITAMBot et modèles contribuer à prévenir cela.
  • Amélioration des niveaux: Transition facile vers le niveau 3 (ajoute la norme NIST 800-172) si nécessaire.
  • Appel: Fichier dans 14 jours du rapport (par exemple, pour les erreurs d'évaluation) ; Lazarus réévalue dans 21 jours via eMASS, conformément à la norme ISO/IEC 17020 – aucune représailles. Transmettre à Cyber ​​AB. 10 jours ouvrables si besoin.

Pour un calendrier personnalisé, contactez Lazarus Alliance au +1 (888) 896-7580 — ils offrent des consultations sans risque pour s’aligner sur le déploiement de 2025+ et sécuriser vos opportunités DoD.

Certification CMMC et évaluation de niveau 2 – Lazarus Alliance C3PAO

Questions fréquemment posées

Délai type : 3 à 6 mois entre le lancement et la certification. Analyse des écarts (4 à 8 semaines) + correction + évaluation finale C3PAO Évaluation (2 à 4 semaines). Lazarus Alliance a obtenu des certifications de niveau 2 en seulement 10 semaines pour des clients bien préparés.

  • Niveau 1: Informations sur les contrats fédéraux uniquement (FCI) → auto-évaluation annuelle
  • Niveau 2: Informations non classifiées contrôlées (CUI) → tiers C3PAO certification (la plus courante)
  • Niveau 3: Programmes CUI à haut risque → dirigés par le gouvernement (DIBCAC) Lazarus Alliance effectue un appel d'évaluation gratuit pour confirmer votre niveau exact.

En Organisme d'évaluation tiers certifié CMMC (C3PAO)Lazarus Alliance coordonne les évaluations, détermine le niveau de certification requis en fonction des besoins de votre entreprise et réalise les évaluations avec des équipes expérimentées de Cybervisor™. Après avoir démontré avec succès votre maturité en matière de capacités et de processus de cybersécurité, nous délivrons une certification valable trois ans, renouvelable annuellement.

Le processus comprend les étapes suivantes : (1) Identification de votre niveau en fonction des données traitées ; (2) Mise en œuvre des contrôles requis (avec des plans d’action et des jalons pour les écarts mineurs aux niveaux 2 et 3) ; (3) Évaluation par un C3PAO (comme Lazarus Alliance) Pour les niveaux 1 et 2 ou DIBCAC pour le niveau 3 ; (4) Publication des résultats et des attestations dans le Système d’évaluation des risques liés à la performance des fournisseurs (SPRS) ; et (5) Maintien de la conformité annuelle. Les certifications sont valables trois ans, le déploiement complet s’échelonnant jusqu’en 2028.

Les exigences CMMC figureront dans les appels d'offres du DoD à partir d'octobre 2025, avec un déploiement progressif sur trois ans :

  • 2025 (Étape 1): 5 à 15 % des contrats, axés sur les auto-évaluations pour les niveaux 1 et certains niveaux 2.
  • 2026 (Étape 2): 20 à 50 % des contrats, augmentation des évaluations de niveau 2 par des tiers.
  • 2027+ (Phase 3)Intégration complète dans tous les contrats applicables, y compris le niveau 3. Le non-respect de cette obligation empêchera les organisations de participer aux appels d'offres concernés.

Tous les maîtres d'œuvre et sous-traitants du ministère de la Défense manipulant des informations classifiées fédérales (FCI) ou des informations contrôlées non classifiées (CUI) dans la zone d'identification de défense (DIB) doivent se conformer aux exigences au niveau approprié. Cela concerne la plupart des entreprises liées à la défense, mais des exemptions peuvent s'appliquer aux produits commerciaux sur étagère (COTS). Si votre organisation traite des données sensibles du ministère de la Défense, même indirectement via la chaîne d'approvisionnement, la certification est indispensable.

CMMC 2.0 est le programme de certification de cybersécurité obligatoire du département de la Défense des États-Unis, qui protège les informations classifiées fédérales (FCI) et les informations contrôlées non classifiées (CUI). Les exigences commenceront à apparaître dans les contrats du département de la Défense fin 2025, et seront pleinement appliquées à tous les contrats concernés d'ici 2028. Le non-respect de ces exigences entraînera la disqualification de votre opérateur.

Lazarus Alliance fournit des services experts en cybersécurité, en conformité et en gestion des risques, notamment des audits internationaux, des évaluations fédérales et des solutions de gouvernance informatique, garantissant aux entreprises une sécurité robuste et une conformité réglementaire.

Des références sur lesquelles vous pouvez compter

Certification CMMC et évaluation de niveau 2 – Lazarus Alliance C3PAO

Numéro de certification accrédité ISO/IEC 2 de l'American Association for Laboratory Accreditation (A17020LA) 3822.01

Certification CMMC et évaluation de niveau 2 – Lazarus Alliance C3PAO

Certification du modèle de maturité de la cybersécurité du ministère de la Défense (DoD) (CMMC) Organisation d'évaluation tierce CMMC (C3PAO).

Parlez avec l'un de nos experts

Nos équipes Lazarus Alliance Cybervisor™ possèdent une vaste expérience dans la réalisation de milliers d'évaluations pour des organisations fournissant des services à des clients du monde entier.

Nous sommes là pour répondre à toutes vos questions.

Téléchargez notre brochure d'entreprise.

Services de l'Alliance Lazare

Avantages de la conformité CMMC

La conformité CMMC (Cybersecurity Maturity Model Certification) offre de nombreux avantages aux organisations, notamment celles qui collaborent avec le Département de la Défense des États-Unis (DoD) ou qui traitent des informations contrôlées non classifiées (CUI). Voici les principaux avantages :

  1. Accès aux contrats du DoDLa conformité CMMC est obligatoire pour les organisations qui soumissionnent ou conservent des contrats avec le DoD. L'obtention du niveau CMMC requis (1 à 3, selon le contrat) garantit l'éligibilité à collaborer avec le DoD, ouvrant ainsi d'importantes opportunités commerciales dans le secteur de la défense.
  2. Posture de cybersécurité renforcéeLe CMMC fournit un cadre structuré pour la mise en œuvre de pratiques de cybersécurité robustes. La conformité aide les organisations à protéger leurs données sensibles, telles que les données personnelles, contre les cybermenaces, réduisant ainsi les risques de violations de données, de rançongiciels et autres attaques.
  3. Avantage concurrentielDémontrer la conformité CMMC signale à vos clients, partenaires et fournisseurs que votre organisation accorde une grande importance à la cybersécurité. Cela peut vous démarquer sur un marché concurrentiel, notamment lors des appels d'offres exigeant des normes de sécurité élevées.
  4. Atténuation des risquesEn adhérant aux exigences CMMC, les organisations réduisent leurs vulnérabilités et améliorent leur capacité à détecter, gérer et récupérer les cyberincidents. Cela minimise les risques financiers, juridiques et de réputation associés aux violations de données ou aux sanctions pour non-conformité.
  5. Confiance et crédibilité amélioréesLa conformité au CMMC renforce la confiance du Département de la Défense, des autres agences gouvernementales et des partenaires commerciaux. Elle témoigne de votre engagement à protéger les informations sensibles et renforce la réputation de votre organisation en tant que partenaire sûr et fiable.
  6. Processus de sécurité rationalisésLe CMMC encourage l'adoption de pratiques de cybersécurité standardisées et reproductibles. Cela conduit à des opérations plus efficaces, car les organisations mettent en œuvre des politiques, des procédures et des contrôles cohérents et adaptés à leur niveau de maturité.
  7. Alignement avec les normes de l'industrieLe CMMC s'appuie sur des référentiels existants tels que NIST 800-171 et ISO 27001. La conformité garantit l'alignement avec les normes de cybersécurité largement reconnues, ce qui facilite la conformité à d'autres réglementations ou certifications.
  8. Économies à long termeBien que la mise en conformité CMMC nécessite un investissement initial, elle peut réduire les coûts liés aux cyberincidents, aux responsabilités légales et aux pertes d'activité dues à la non-conformité. Une approche proactive en matière de cybersécurité minimise le risque de perturbations coûteuses.
  9. Scalabilité et flexibilitéLes niveaux de maturité hiérarchisés du CMMC permettent aux organisations d'adapter leurs pratiques de cybersécurité à la sensibilité des données traitées. Ainsi, les PME peuvent se conformer aux réglementations sans solliciter des ressources excessives.
  10. Sécurité de la chaîne d'approvisionnementLa conformité CMMC renforce la sécurité globale de la chaîne d'approvisionnement du DoD en garantissant que tous les entrepreneurs et sous-traitants respectent les normes minimales de cybersécurité. Cet effort collectif réduit les risques systémiques pour l'ensemble de l'industrie de la défense.

En résumé, la conformité CMMC garantit non seulement l'accès aux contrats du DoD, mais renforce également la cybersécurité, la réputation et l'efficacité opérationnelle d'une organisation, offrant des avantages immédiats et à long terme. Pour plus de détails sur la mise en œuvre ou les coûts, les organisations peuvent consulter des ressources telles que le site web CMMC du DoD ou des évaluateurs CMMC certifiés comme Lazarus Alliance.

Lazarus Alliance fournit des services experts en cybersécurité, en conformité et en gestion des risques, notamment des audits internationaux, des évaluations fédérales et des solutions de gouvernance informatique, garantissant aux entreprises une sécurité robuste et une conformité réglementaire.

Questions, préoccupations, plaintes et appels

Le processus de résolution des litiges est révisé par la direction de Lazarus Alliance chaque année ou lorsque des modifications sont nécessaires.

Exigences administratives générales

  1.  Les C3PAO autorisés et accrédités, tels que Lazarus Alliance, doivent disposer d'une procédure documentée pour recevoir, évaluer et statuer sur les appels conformément à ces exigences.ISO/IEC 17020:7.5.1)
  2. Une description du processus interne de traitement des recours du C3PAO autorisé et accrédité doit être mise à la disposition de toute partie intéressée sur demande. (ISO/IEC 17020 7.5.2)
  3. Le processus de traitement des recours doit comprendre au moins les éléments et méthodes suivants :
    1. Une description du processus du C3PAO autorisé ou accrédité pour recevoir, valider, enquêter sur l'appel et décider des mesures à prendre en réponse à celui-ci ;
    2. Processus permettant de garantir que les mesures appropriées d'un C3PAO autorisé ou accrédité sont prises en temps opportun. (ISO/IEC 17020 7.6.1)
    3. Le processus de suivi et d'enregistrement des appels par les C3PAO autorisés ou accrédités, y compris les mesures prises pour résoudre les appels, consiste à saisir les données d'appel dans le service de soutien à l'assurance de la mission d'entreprise CMMC (eMASS).
    4. Les C3PAO agréés et accrédités accuseront réception de l'appel et fourniront à l'appelant des rapports d'avancement et le résultat. (ISO/IEC 17020 7.6.3)
  4. Les C3PAO autorisés et accrédités qui reçoivent l'appel seront responsables de recueillir et de vérifier toutes les informations nécessaires pour valider l'appel. (ISO/IEC 17020 7.6.2)
  5. Tous les appels soumis par un OSC à un C3PAO autorisé ou accrédité doivent être examinés et approuvés par un évaluateur certifié ou un membre du personnel de contrôle de la qualité non impliqué dans les activités d'inspection originales en question.
  6. Les réévaluations et décisions autorisées ou accréditées de la C3PAO concernant les appels soumis ne doivent pas donner lieu à des mesures discriminatoires à l'encontre de toute personne ou de tout OSC déposant l'appel. (ISO/IEC 17020 7.5.5)

Appel

  1. À la réception d'un rapport d'évaluation final du C3PAO autorisé ou accrédité, un OSC a le droit de faire appel des résultats d'une décision de certification d'évaluation CMMC si l'OSC estime que son échec a été attribué à :

    1. Malversation

    2. Comportement contraire à l'éthique,

    3. Erreur de la part du C3PAO autorisé ou accrédité ou des évaluateurs qui ont effectué l'évaluation.

  2. À la réception du rapport final d'évaluation du CMMC, un OSC dispose d'un délai de 14 jours calendaires pour déposer un appel demandant une décision supplémentaire sur la conformité aux pratiques ou aux processus que l'organisation conteste sur la base des critères décrits au point 5.1.

  3. À la réception d'un appel de l'OSC, le C3PAO autorisé ou accrédité doit enregistrer l'appel dans CMMC eMASS et procéder à un examen des pratiques ou des processus en litige.

  4. Dès réception d'un appel, le C3PAO autorisé ou accrédité procède à une réévaluation en coordination avec l'OSC. L'enquête du C3PAO peut comprendre un examen des preuves précédemment fournies par l'OSC, après leur analyse par ce dernier, et des consultations avec l'équipe d'évaluation initiale et le personnel de l'OSC, au besoin.

  5. À la réception de l’appel, le C3PAO autorisé ou accrédité disposera de 21 jours calendaires pour procéder à la réévaluation des pratiques et processus contestés et fournir sa décision d’arbitrage à la CVMO. Simultanément, le C3PAO autorisé ou accrédité devra télécharger les informations suivantes sur CMMC eMASS :

    1. Toute modification apportée à son rapport d’évaluation initial sur la base des conclusions de sa réévaluation

    2. Nom du chef d'équipe chargé de la réévaluation à l'appui de l'appel

    3. L'issue de l'appel

    4. L'autorité d'approbation de la C3PAO pour la réévaluation et l'issue de l'appel

  6. Si la CVMO conteste ou s'oppose à la décision de la C3PAO concernant son appel d'évaluation, elle peut saisir la Cour d'appel de la cybersécurité. La CVMO doit saisir la Cour d'appel de la cybersécurité dans les dix (10) jours ouvrables suivant la réception de la décision écrite de la C3PAO concernant son appel d'évaluation.

    Tous les appels rendus par le Comité d'éthique et de conformité de The Cyber ​​AB sont définitifs.

Formulaire de questions, de préoccupations, de plaintes et d'appels

Nous voulons être votre partenaire et Organisme d'évaluation tiers CMMC (C3PAO) Auditeur de conformité de choix ! Pour plus d'informations, veuillez appeler + 1 (888) 896-7580.

 

Vous souhaitez recevoir un devis rapidement ? Répondez à notre questionnaire ici: