CMMC-sertifisering, nivå 1- og nivå 2-vurderinger – Lazarus Alliance er en autorisert C3PAO. Anrop +1 (888) 896-7580 i dag!

Innholdsfortegnelse
CMMC-sertifisering og nivå 2-vurdering – Lazarus Alliance C3PAO

Det amerikanske forsvarsdepartementet (DoD) opprettet Sertifisering av modenhetsmodell for cybersikkerhet (CMMC 2.0) å beskytte føderal kontraktsinformasjon (FCI) og kontrollert uklassifisert informasjon (CUI) på tvers av hele forsvarsindustrien (DIB). Fra slutten av 2025, CMMC-samsvar er obligatorisk for enhver hovedleverandør eller underleverandør som byr på eller utfører DoD-kontrakter som involverer sensitive data.

Lazarus Alliance er en autorisert tredjepartsvurderingsorganisasjon for CMMC (C3PAO) autorisert av Cyber ​​AB. Vi veileder DoD-kontraktører gjennom hele CMMC-reisen – fra å bestemme det nødvendige sertifiseringsnivået (nivå 1, nivå 2 eller nivå 3) til å oppnå full sertifisering.

Slik ser det ut å jobbe med Lazarus Alliance:

  • A gratis samtale om omfang (+ 1 888-896-7580) for å bekrefte om du trenger nivå 1 (selvvurdering), nivå 2 (tredjepartssertifisering for CUI) eller nivå 3 (myndighetsledet for høyrisikoprogrammer).
  • En skreddersydd beredskapsplan og gapanalyse mot de eksakte NIST SP 800-171 (nivå 2) eller NIST 800-172 (nivå 3) kontrollene du må oppfylle.
  • Fullstendig koordinering av C3PAO-vurderinger av våre erfarne Cybervisor™-team.
  • Sertifisering tildeles i det øyeblikket du demonstrerer den nødvendige modenheten – med resultater som legges direkte inn i Forsvarsdepartementets leverandørrisikosystem (SPRS).

Enten du forbereder deg på den fasede utrullingen i 2025–2028 eller trenger sertifisering nå for en kommende utlysning, leverer Lazarus Alliance raske, kompatible og stressfrie CMMC-vurderinger, slik at du kan vinn og behold DoD-kontrakter uten forsinkelser i samsvar.

Sertifisering for cybersikkerhetsmodning (CMMC)

CMMC fortsetter å sikte mot å verifisere at DoD-leverandører og underleverandører implementerer og vedlikeholder cybersikkerhetspraksis for å beskytte sensitive data i forsvarsindustrien (DIB). Den bygger på standarder som NIST SP 800-171 (Rev. 2) og FAR 52.204-21, og går fra egenattestering til verifiserbare vurderinger. Fra oktober 2025 begynner krav å dukke opp i DoD-forespørsler, med full utrulling faset over tre år (frem til 2028).

De tre CMMC-nivåene

Nivåene er lagdelt basert på type og sensitivitet av data som håndteres (FCI for ikke-sensitiv kontraktsinformasjon; CUI for sensitiv, men uklassifisert informasjon). Hvert nivå spesifiserer sikkerhetskrav, vurderingsmetoder og hyppighet:

  1. Nivå 1: Grunnleggende (Grunnleggende netthygiene for FCI)
    • FokusBeskytter FCI mot grunnleggende trusler.
    • Krav17 grunnleggende sikkerhetskontroller fra FAR 52.204-21 (f.eks. begrense systemtilgang, bruke antivirus, skjerme brukere).
    • AssessmentÅrlig egenvurdering, med resultater lagt ut i Supplier Performance Risk System (SPRS). Ingen tredjepartsinvolvering.
    • GyldighetFor kontrakter som kun involverer FCI (ingen CUI). Unntak gjelder for kommersielle hyllevareprodukter (COTS).
    • TidslinjeKan håndheves i oppfordringer fra slutten av 2025.
  2. Nivå 2: Avansert (Mellomliggende beskyttelse for CUI)
    • FokusBeskytter CUI mot vanlige cybertrusler, i samsvar med NIST SP 800-171s 110-kontroller.
    • KravAlle 110 NIST 800-171-praksiser (f.eks. flerfaktorautentisering, planlegging av hendelsesrespons, mediebeskyttelse).
    • AssessmentPrimært tredjepartssertifisering av en CMMC tredjeparts vurderingsorganisasjon (C3PAO) hvert tredje år, med årlige bekreftelser. Egenvurderinger er tillatt for noen kontrakter med lavere risiko via en handlingsplan og milepæler (POA&M) for mindre hull (må lukkes innen 180 dager).
    • GyldighetFor de fleste kontrakter som håndterer CUI. Dette er det vanligste nivået for DIB-organisasjoner.
    • TidslinjeTredjepartsvurderinger starter i oktober 2026 for kontrakter med høyere risiko; egenvurderinger starter i 2025.
  3. Nivå 3: Ekspert (Proaktivt forsvar mot høyrisiko-CUI)
    • FokusBeskytter mot avanserte vedvarende trusler (APT-er) med forbedrede kontroller utover NIST 800-171.
    • KravAlle nivå 2-kontroller pluss 24 ekstra NIST 800-172 praksiser (f.eks. avansert trusseldeteksjon, risikostyring i forsyningskjeden, bedragteknikker).
    • AssessmentMyndighetsledet vurdering av Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), bygger på en tidligere nivå 2 C3PAO-sertifisering. Hvert tredje år, med årlige bekreftelser.
    • GyldighetFor en liten delmengde av kontrakter som involverer svært sensitiv CUI som er kritisk for nasjonal sikkerhet.
    • TidslinjeInnfaset fra 2026–2027, primært for utvalgte programmer med høy prioritet.

Nøkkelkomponenter

  • Domener og praksiserOrganisert i 14 domener (f.eks. tilgangskontroll, risikovurdering) med muligheter og spesifikke fremgangsmåter. Nivåer bygges opp kumulativt – nivå 3 inkluderer alt fra nivå 1 og 2.
  • Poengsum og POA&MsFor nivå 2 og 3, implementering av vurderingspoeng (100 % kreves for full sertifisering; delvise poengsummer er midlertidig tillatt via POA&Ms). Nivå 1 krever at alle kontroller er fullt ut oppfylt.
  • affirmasjonerLedende tjenestemenn må årlig bekrefte samsvar med SPRS gjennom hele kontraktens levetid.

Implementering og tidslinje (per oktober 2025)

  • Fasevis utrulling:
    • Fase 1 (2025)CMMC-klausuler i ~5–15 % av oppdragene; fokus på selvvurderinger for nivå 1 og noe nivå 2.
    • Fase 2 (2026)~20–50 % av kontraktene; tredjeparts nivå 2-vurderinger øker.
    • Fase 3 (2027+)Alle gjeldende kontrakter; full nivå 3-integrasjon.
  • sertifiseringsprosessenVurderinger av akkrediterte C3PAO-er eller DIBCAC; resultater gyldige i tre år.
  • GyldighetAlle hovedleverandører og underleverandører som håndterer FCI/CUI; flyter ned via kontraktsklausuler.
Tidslinje for CMMC nivå 2-revisjon: Hva du kan forvente med Lazarus Alliance

Tidslinje for CMMC nivå 2-revisjon: Hva du kan forvente med Lazarus Alliance

Ocuco CMMC Nivå 2-revisjon (Avansert/Mellomliggende) under rammeverket for sertifisering av cybersikkerhetsmodenhet (CMMC) er utviklet for organisasjoner i forsvarsindustrien (DIB) som håndterer Kontrollert uklassifisert informasjon (CUI)– sensitive, men uklassifiserte data i DoD-kontrakter. Den fokuserer på å beskytte mot vanlige cybertrusler gjennom samordning med alle 110 NIST SP 800-171 Rev. 2 praksis (f.eks. flerfaktorautentisering, planlegging av hendelsesrespons, mediebeskyttelse).

I motsetning til nivå 1 (selvvurdert), krever nivå 2 vanligvis tredjepartssertifisering av en C3PAO som Lazarus-alliansen hver 3 årmed årlige bekreftelserSelvevalueringer er tillatt for kontrakter med lavere risiko, men tredjepartsrevisjoner er standard for de fleste. Handlingsplaner og milepæler (POA&Ms) tillat mindre hull (må lukkes innenfor 180 dager), som midlertidig tillater delvise poengsummer.

Lazarus Alliance, som en sertifisert C3PAO, koordinerer hele prosessen ved hjelp av vår Cybervisor™-team (erfaring med tusenvis av vurderinger). De fastslår dine eksakte behov, gjennomfører evalueringer og tildeler sertifisering når de har vist modenhet på tvers av 14-domener (f.eks. adgangskontroll, risikovurdering). Den overordnede tidslinjen er 3–6 måneder fra forberedelse til sertifisering, avhengig av hull. Sertifiseringer er gyldige for 3 år, men årlige SPRS-bekreftelser er obligatoriske.

Nøkkeloversikt

  • KravFull implementering av 110 NIST-kontroller; 100 % poengsum kreves for sertifisering (POA&Ms for mindre problemer).
  • VurderingstypeTredjepart (C3PAO) hvert tredje år; årlige bekreftelser i System for leverandørytelsesrisiko (SPRS).
  • Innvirkning på utrullingen av Forsvarsdepartementet: Håndhevbar start 2025 (selvvurderinger for noen); tredjepartsrevisjoner øker i oktober 2026 for kontrakter med høyere risiko (fase 2–3 til 2028). Manglende overholdelse ekskluderer deg fra CUI-relaterte anbud.
  • Kostnad og ekspertise med Lazarus20 000–60 000+ dollar for full revisjon (varierer etter omfang; forberedende støtte ~10 000–20 000 dollar). Cybervisor™-teamene deres sikrer effektivitet i samsvar med Forsvarsdepartementets retningslinjer.

Steg-for-steg tidslinje: Hva du kan forvente

Her er den fasede prosessen med Lazarus Alliance. Tidslinjene er estimater basert på CMMCs retningslinjer og deres koordinerte tilnærming.

Fase Varighet Hva kan man forvente Lazarus-alliansens rolle
1. Forberedelse og gapanalyse 4-8 uker - Vurder nåværende situasjon mot 110 NIST-kontroller. - Samle bevis (policyer, konfigurasjoner, logger) på tvers av 14 domener. - Bekreft nivå 2-anvendbarhet (CUI-håndtering; ingen unntak for COTS). - Utarbeide POA&Ms for hull; implementere raske gevinster (f.eks. kryptering, revisjon). - Gratis konsultasjon (+1-888-896-7580 eller skjema) for å kartlegge behov. - Cybervisor™-teamet gjennomfører en beredskapsvurdering og tilbyr veikart/maler. - Identifiser om egenvurdering kontra tredjepartsvurdering passer.
2. Implementering og utvikling av POA&M 4-8 uker - Implementer kontroller (f.eks. tilgangsstyring, bevisstgjøringstrening). - Utvikle/spore POA og MMS for varer som ikke er i samsvar (180 dagers lukking kreves). - Intern testing for å simulere en revisjon. - Rådgivende veiledning: Gjennomgå dokumenter, prioriter rettelser. - Cybervisor™-eksperter gir råd om NIST-tilpasning; flagg eskaleringsrisikoer til nivå 3.
3. Utførelse av tredjepartsvurdering 2-4 uker - Revisjon på stedet/fjernkontroll: Lazarus-teamet evaluerer bevis, intervjuer ansatte, tester systemer. - Poengsumpraksis (delvis OK via POA&Ms); dekker alle domener. - Ingen større forstyrrelser – faset over dager/uker. - Planlegg og led en fullstendig C3PAO-revisjon med Cybervisor™-vurderere. - Tilbakemeldinger i sanntid; håndter eventuelle umiddelbare problemer.
4. Resultater, sertifisering og SPRS-publisering 1-2 uker - Motta endelig rapport/score; lukk eventuelle endelige POA&Ms. - Send til SPRS; bekrefter den høytstående tjenestemannen. - Sertifisering tildeles hvis ≥100 % (etter POA&M). - Utstede sertifisering gyldig i 3 år. - Bistå med opplasting/bekreftelse av SPRS; bekrefte synlighet fra Forsvarsdepartementet.
5. Løpende vedlikehold og revurdering Årlig + hvert 3. år - Årlige bekreftelser i SPRS. - Overvåke endringer (f.eks. nye CUI-kontrakter). - Revisjon hvert tredje år. - Årlige Cybervisor™-innsjekkinger for å opprettholde samsvar. - Varsler om oppdateringer fra Forsvarsdepartementet; sømløs resertifiseringsstøtte.

Bredere kontekst for utrulling av Forsvarsdepartementet (påvirker håndheving på nivå 2)

  • 2025 (Fase 1)Selvvurderinger for noe nivå 2 i 5–15 % av oppdragene.
  • 2026 (Fase 2)Tredjepartsrevisjoner er obligatoriske for CUI-kontrakter med høyere risiko (20–50 % dekning).
  • 2027+ (Fase 3)Universell for alle CUI-håndteringskontrakter.

Potensielle utfordringer og tips

  • Vanlige fallgruver: Forsinkelser i POA&M eller ufullstendig bevis – Bruk av FedRAMP-autorisert Continuum GRC ITAM SaaS A.ITAM, A.ITAMBotog maler bidra til å forhindre dette.
  • OppgraderingsnivåerEnkel overgang til nivå 3 (legger til NIST 800-172) om nødvendig.
  • KlageFil innenfor 14 dager av rapporten (f.eks. for feil fra vurderingspersonen); Lazarus revurderer i 21 dager via eMASS, i henhold til ISO/IEC 17020 – ingen gjengjeldelse. Eskaler til Cyber ​​AB i 10 virkedager hvis nødvendig.

For en skreddersydd tidslinje, ta kontakt med Lazarus Alliance på +1 (888) 896-7580 – de tilbyr risikofrie konsultasjoner for å tilpasse seg utrullingen fra 2025+ og sikre dine muligheter i Forsvarsdepartementet.

CMMC-sertifisering og nivå 2-vurdering – Lazarus Alliance C3PAO

Ofte Stilte Spørsmål

Typisk tidslinje: 3–6 måneder fra oppstart til sertifisering. Gapanalyse (4–8 uker) + utbedring + endelig C3PAO vurdering (2–4 uker). Lazarus Alliance har fullført nivå 2-sertifiseringer på så lite som 10 uker for godt forberedte klienter.

  • Nivå 1: Kun føderal kontraktsinformasjon (FCI) → årlig egenvurdering
  • Nivå 2: Kontrollert uklassifisert informasjon (CUI) → tredjepart C3PAO sertifisering (vanligst)
  • Nivå 3: Høyrisiko-CUI-programmer → Den myndighetsledede (DIBCAC) Lazarus Alliance gjennomfører en gratis undersøkelsessamtale for å bekrefte det nøyaktige nivået.

Som en sertifisert CMMC tredjeparts vurderingsorganisasjon (C3PAO)Lazarus Alliance koordinerer vurderinger, bestemmer det nødvendige sertifiseringsnivået basert på forretningsbehov og gjennomfører evalueringer ved hjelp av erfarne Cybervisor™-team. Etter vellykket demonstrasjon av modenhet innen cybersikkerhetskapasiteter og -prosesser, tildeler vi sertifisering som er gyldig i tre år, med krav om årlige bekreftelser.

Prosessen innebærer: (1) Identifisering av nivået ditt basert på data som håndteres; (2) Implementering av nødvendige kontroller (med handlingsplaner og milepæler for mindre hull i nivå 2/3); (3) Vurdering av en C3PAO (som Lazarus-alliansen) for nivå 1–2 eller DIBCAC for nivå 3; (4) Publisering av resultater og bekreftelser i Supplier Performance Risk System (SPRS); og (5) Opprettholdelse av samsvar årlig. Sertifiseringer varer i tre år, med full utrulling faset frem til 2028.

CMMC-krav vil vises i DoD-forespørsler fra oktober 2025, med en treårig faset utrulling:

  • 2025 (Fase 1)5–15 % av kontraktene, med fokus på egenvurderinger for nivå 1 og noen nivå 2.
  • 2026 (Fase 2)20–50 % av kontraktene, noe som øker antallet tredjeparts nivå 2-vurderinger.
  • 2027+ (Fase 3)Full integrering på tvers av alle gjeldende kontrakter, inkludert nivå 3. Brudd på kravene vil utestenge organisasjoner fra relevante anbud.

Alle hovedleverandører og underleverandører i Forsvarsdepartementet som håndterer FCI eller CUI i DIB må overholde kravene på riktig nivå. Dette inkluderer de fleste forsvarsrelaterte virksomheter, men unntak kan gjelde for kommersielle hyllevarer (COTS). Hvis organisasjonen din håndterer sensitive Forsvarsdepartementets data, selv indirekte gjennom forsyningskjeden, er sertifisering avgjørende.

CMMC 2.0 er det amerikanske forsvarsdepartementets obligatoriske sertifiseringsprogram for cybersikkerhet som beskytter FCI og CUI. Kravene begynner å vises i forsvarsdepartementets kontrakter sent i 2025, med full håndheving for alle gjeldende kontrakter innen 2028. Brudd på dette vil diskvalifisere deg fra å gi anbud.

Lazarus Alliance tilbyr eksperttjenester innen cybersikkerhet, samsvar og risikostyring, inkludert internasjonale revisjoner, føderale vurderinger og IT-styringsløsninger, og sikrer at bedrifter oppnår robust sikkerhet og samsvar med regelverk.

Kvalifikasjoner du kan stole på

CMMC-sertifisering og nivå 2-vurdering – Lazarus Alliance C3PAO

American Association for Laboratory Accreditation (A2LA) ISO/IEC 17020 akkreditert sertifiseringsnummer 3822.01

CMMC-sertifisering og nivå 2-vurdering – Lazarus Alliance C3PAO

Department of Defense (DoD) Cybersecurity Maturity Model Certification (CMMC) CMMC Third Party Assessment Organization (C3PAO).

Snakk med en av våre eksperter

Våre Lazarus Alliance Cybervisor™-team har erfaring med å utføre tusenvis av vurderinger for organisasjoner som tilbyr tjenester til kunder over hele verden.

Vi er her for å svare på alle spørsmål du måtte ha.

Last ned vår firmabrosjyre.

Lazarus Alliance-tjenester

Fordeler med CMMC-samsvar

Samsvar med CMMC (Cybersecurity Maturity Model Certification) gir flere fordeler for organisasjoner, spesielt de som jobber med det amerikanske forsvarsdepartementet (DoD) eller håndterer kontrollert, uklassifisert informasjon (CUI). Nedenfor er de viktigste fordelene:

  1. Tilgang til DoD-kontrakterOverholdelse av CMMC-regler er obligatorisk for organisasjoner som byr på eller opprettholder kontrakter med Forsvarsdepartementet. Å oppnå det nødvendige CMMC-nivået (1–3, avhengig av kontrakten) sikrer kvalifisering til å samarbeide med Forsvarsdepartementet, noe som åpner for betydelige forretningsmuligheter i forsvarssektoren.
  2. Forbedret nettsikkerhetsholdningCMMC tilbyr et strukturert rammeverk for å implementere robuste cybersikkerhetspraksiser. Samsvar hjelper organisasjoner med å beskytte sensitive data, som CUI, mot cybertrusler, og reduserer dermed risikoen for datainnbrudd, ransomware og andre angrep.
  3. KonkurransefordelDemonstrere CMMC-samsvarssignaler til kunder, partnere og leverandører om at organisasjonen din prioriterer cybersikkerhet. Dette kan differensiere virksomheten din i et konkurransepreget marked, spesielt når du byr på kontrakter som krever høye sikkerhetsstandarder.
  4. Risikoreduserende tiltakVed å overholde CMMC-krav reduserer organisasjoner sårbarheter og forbedrer sin evne til å oppdage, reagere på og gjenopprette etter cyberhendelser. Dette minimerer økonomisk, juridisk og omdømmemessig risiko knyttet til datainnbrudd eller straffer for manglende overholdelse.
  5. Forbedret tillit og troverdighetOverholdelse av CMMC bygger tillit hos Forsvarsdepartementet, andre offentlige etater og kommersielle partnere. Det viser en forpliktelse til å beskytte sensitiv informasjon, og styrker organisasjonens omdømme som en sikker og pålitelig partner.
  6. Strømlinjeformede sikkerhetsprosesserCMMC oppfordrer til bruk av standardiserte, repeterbare cybersikkerhetspraksiser. Dette fører til mer effektiv drift, ettersom organisasjoner implementerer konsistente retningslinjer, prosedyrer og kontroller skreddersydd til deres modenhetsnivå.
  7. Tilpasning til industristandarderCMMC er bygget på eksisterende rammeverk som NIST 800-171, ISO 27001 og andre. Samsvar sikrer samsvar med allment anerkjente standarder for nettsikkerhet, noe som kan legge til rette for samsvar med andre forskrifter eller sertifiseringer.
  8. Langsiktige kostnadsbesparelserSelv om det å oppnå CMMC-samsvar krever forhåndsinvestering, kan det redusere kostnader knyttet til cyberhendelser, juridisk ansvar og tapt virksomhet på grunn av manglende samsvar. En proaktiv cybersikkerhetstilnærming minimerer sannsynligheten for kostbare avbrudd.
  9. Skalerbarhet og fleksibilitetCMMCs nivåbaserte modenhetsnivåer lar organisasjoner skalere sine cybersikkerhetspraksiser i henhold til sensitiviteten til dataene de håndterer. Dette sikrer at små og mellomstore bedrifter kan oppnå samsvar uten overveldende ressursbehov.
  10. Supply Chain SecuritySamsvar med CMMC styrker den generelle sikkerheten i Forsvarsdepartementets forsyningskjede ved å sikre at alle leverandører og underleverandører oppfyller minimumsstandarder for cybersikkerhet. Denne kollektive innsatsen reduserer systemiske risikoer på tvers av forsvarsindustrien.

Kort sagt sikrer CMMC-samsvar ikke bare tilgang til DoD-kontrakter, men styrker også en organisasjons cybersikkerhet, omdømme og driftseffektivitet, noe som gir både umiddelbare og langsiktige fordeler. For spesifikke detaljer om implementering eller kostnader kan organisasjoner se ressurser som DoDs CMMC-nettsted eller konsultere med sertifiserte CMMC-vurderere som Lazarus Alliance.

Lazarus Alliance tilbyr eksperttjenester innen cybersikkerhet, samsvar og risikostyring, inkludert internasjonale revisjoner, føderale vurderinger og IT-styringsløsninger, og sikrer at bedrifter oppnår robust sikkerhet og samsvar med regelverk.

Spørsmål, bekymringer, klager og anker

Tvisteløsningsprosessen gjennomgås av ledelsen i Lazarus Alliance årlig eller når endringer er nødvendige.

Generelle administrative krav

  1.  Autoriserte og akkrediterte C3PAO-er som Lazarus Alliance skal ha en dokumentert prosess for å motta, evaluere og ta avgjørelser om anker i samsvar med disse kravene.ISO/IEC 17020 7.5.1)
  2. En beskrivelse av den autoriserte og akkrediterte C3PAOs interne behandlingsprosess for klager skal være tilgjengelig for enhver interessert part på forespørsel. (ISO/IEC 17020 7.5.2)
  3. Behandlingsprosessen for klage skal inneholde minst følgende elementer og metoder:
    1. En beskrivelse av den autoriserte eller akkrediterte C3PAOs prosess for å motta, validere, undersøke klagen og bestemme hvilke handlinger som skal iverksettes som svar på den;
    2. Prosessen for å sikre at en autorisert eller akkreditert C3PAOs nødvendige tiltak iverksettes i tide. (ISO/IEC 17020 7.6.1)
    3. Prosessen for at autoriserte eller akkrediterte C3PAO-er skal spore og registrere anker, inkludert tiltak som iverksettes for å løse anker, er å legge inn ankedataene i CMMC Enterprise Mission Assurance Support Service (eMASS).
    4. Autoriserte og akkrediterte C3PAOer skal bekrefte mottak av klagen og skal gi klageren fremdriftsrapporter og resultatet. (ISO/IEC 17020 7.6.3)
  4. Autoriserte og akkrediterte C3PAOer som mottar klagen, skal være ansvarlige for å samle inn og verifisere all nødvendig informasjon for å validere klagen. (ISO/IEC 17020 7.6.2)
  5. Alle klager som sendes inn av en OSC til en autorisert eller akkreditert C3PAO skal gjennomgås og godkjennes av en sertifisert assessor eller et kvalitetskontrollmedlem som ikke var involvert i de aktuelle opprinnelige inspeksjonsaktivitetene.
  6. Autoriserte eller akkrediterte C3PAO-revurderinger og avgjørelser om innsendte klager skal ikke resultere i noen diskriminerende handlinger mot noen enkeltperson eller OSC som sender inn klagen. (ISO/IEC 17020 7.5.5)

Klage

  1. Ved mottak av en endelig vurderingsrapport fra den autoriserte eller akkrediterte C3PAO, har en OSC rett til å klage på resultatene av en CMMC-vurderingssertifiseringsbeslutning hvis OSC mener at deres feil ble tilskrevet:

    1. Funksjonsfeil

    2. Uetisk oppførsel,

    3. Feil på vegne av den autoriserte eller akkrediterte C3PAO eller assessorene som utførte vurderingen.

  2. Etter mottak av den endelige CMMC-vurderingsrapporten har en OSC opptil 14 kalenderdager på seg til å sende inn en klage og be om ytterligere avgjørelse av overholdelse av praksis eller prosesser som organisasjonen bestrider basert på kriteriene skissert i 5.1.

  3. Ved mottak av en OSC-anke, skal den autoriserte eller akkrediterte C3PAO registrere klagen i CMMC eMASS og gjennomføre en gjennomgang av praksis eller prosesser i tvisten.

  4. Ved mottak av en anke skal den autoriserte eller akkrediterte C3PAO-en foreta en ny vurdering i samarbeid med OSC. C3PAO-ens undersøkelse kan omfatte en gjennomgang av OSCs tidligere fremlagte bevis, som har blitt gjennomgått av OSC, og konsultasjoner med det opprinnelige vurderingsteamet og OSC-personell etter behov.

  5. Etter mottak av klagen vil den autoriserte eller akkrediterte C3PAO ha 21 kalenderdager på seg til å foreta sin reevaluering av omstridte praksiser og prosesser og gi sin avgjørelse til OSC. Samtidig skal den autoriserte eller akkrediterte C3PAO laste opp følgende informasjon til CMMC eMASS:

    1. Eventuelle endringer i den opprinnelige vurderingsrapporten basert på funnene fra dens re-evaluering

    2. Navn på teamleder som foretar re-evalueringen til støtte for klagen

    3. Utfallet av anken

    4. C3PAO-godkjenningsmyndigheten for revurdering og utfallet av klagen

  6. Dersom OSC avviser eller motsetter seg C3PAOs avgjørelse i anken om vurdering, kan de anke til Cyber ​​AB. OSC må anke til Cyber ​​AB innen ti (10) virkedager etter at C3PAO har mottatt skriftlig avgjørelse i anken om vurdering.

    Alle klager fra The Cyber ​​ABs etikk- og samsvarskomité er endelige.

Skjema for spørsmål, bekymringer, klager og anker

Vi ønsker å være din partner og CMMC tredjeparts vurderingsorganisasjon (C3PAO) Foretrukket samsvarsrevisjonsvurderer! For ytterligere informasjon, vennligst ring + 1 (888) 896-7580.

 

Ønsker du å få et forsprang på å motta et tilbud? Fyll ut spørreskjemaet vårt her: