Сертифікація CMMC, оцінювання 1-го та 2-го рівнів – Lazarus Alliance є уповноваженим C3PAO. виклик +1 (888) 896-7580 сьогодні!

Зміст
Сертифікація CMMC та оцінювання 2-го рівня – Lazarus Alliance C3PAO

Міністерство оборони США (DoD) створило Сертифікація моделі зрілості кібербезпеки (CMMC 2.0) для захисту інформації про федеральні контракти (FCI) та контрольованої несекретної інформації (CUI) на всій оборонно-промисловій базі (DIB). Починаючи з кінця 2025 року, Відповідність вимогам CMMC є обов'язковою для будь-якого головного підрядника або субпідрядника, який бере участь у тендерах на контракти Міністерства оборони США або виконує їх, що стосуються конфіденційних даних.

Lazarus Alliance є уповноваженою сторонньою оцінювальною організацією CMMC (C3PAO) уповноважений Cyber ​​AB. Ми супроводжуємо підрядників Міністерства оборони США на всьому шляху CMMC – від визначення необхідного рівня сертифікації (рівень 1, рівень 2 або рівень 3) до отримання повної сертифікації.

Ось як виглядає співпраця з Lazarus Alliance:

  • A безкоштовний дзвінок для уточнення інформації (+ 1 888-896-7580), щоб підтвердити, чи потрібен вам рівень 1 (самостійна оцінка), рівень 2 (сертифікація третьої сторони для CUI) або рівень 3 (під керівництвом уряду для програм високого ризику).
  • Індивідуальна дорожня карта готовності та аналіз прогалин відповідно до конкретних контрольних вимог NIST SP 800-171 (рівень 2) або NIST 800-172 (рівень 3), яким ви повинні відповідати.
  • Повна координація оцінювання C3PAO нашими досвідченими командами Cybervisor™.
  • Сертифікація видається в момент демонстрації необхідної зрілості, а результати безпосередньо публікуються в Системі оцінки ризиків ефективності постачальників (SPRS) Міністерства оборони США.

Незалежно від того, чи готуєтеся ви до поетапного впровадження 2025–2028 років, чи вам потрібна сертифікація вже зараз для майбутнього тендеру, Lazarus Alliance пропонує швидкі, відповідні та безстресові оцінки CMMC, щоб ви могли… вигравати та зберігати контракти Міністерства оборони без затримок із дотриманням вимог.

Сертифікація моделі зрілості кібербезпеки (CMMC)

CMMC продовжує прагнути перевірити, чи підрядники та субпідрядники Міністерства оборони впроваджують та підтримують практики кібербезпеки для захисту конфіденційних даних на оборонно-промисловій базі (DIB). Вона базується на таких стандартах, як NIST SP 800-171 (Rev. 2) та FAR 52.204-21, переходячи від самоатестації до перевірених оцінок. Станом на жовтень 2025 року вимоги починають з'являтися в запитах Міністерства оборони, а повне впровадження поетапно триває протягом трьох років (до 2028 року).

Три рівні CMMC

Рівні розподілені на рівні залежно від типу та чутливості оброблюваних даних (FCI для неконфіденційної контрактної інформації; CUI для чутливої, але несекретної інформації). Кожен рівень визначає вимоги безпеки, методи оцінки та частоту:

  1. Рівень 1: Базовий (Базова кібергігієна для FCI)
    • FocusЗахищає FCI від основних загроз.
    • Вимога17 основних елементів керування безпекою з FAR 52.204-21 (наприклад, обмеження доступу до системи, використання антивіруса, перевірка користувачів).
    • ОцінкаЩорічна самооцінка з публікацією результатів у Системі оцінки ризиків ефективності постачальників (SPRS). Без участі третіх сторін.
    • ЗастосовністьДля контрактів, що включають лише FCI (без CUI). Винятки застосовуються до комерційних готових до використання товарів (COTS).
    • ХронологіяМоже бути застосований до клопотань, починаючи з кінця 2025 року.
  2. Рівень 2: Розширений (середній захист для CUI)
    • FocusЗахищає CUI від поширених кіберзагроз, тісно узгоджуючи 110 контрольних заходів NIST SP 800-171.
    • ВимогаУсі 110 практик NIST 800-171 (наприклад, багатофакторна автентифікація, планування реагування на інциденти, захист медіа).
    • ОцінкаВ основному, сертифікація третьою стороною, Організація з оцінювання третіх сторін CMMC (C3PAO) кожні три роки, з щорічними підтвердженнями. Самооцінка дозволена для деяких контрактів з нижчим рівнем ризику через План дій та етапів (POA&M) для незначних прогалин (має бути закрито протягом 180 днів).
    • ЗастосовністьДля більшості контрактів, що стосуються CUI. Це найпоширеніший рівень для організацій DIB.
    • ХронологіяОцінювання сторонніми організаціями контрактів з підвищеним ризиком розпочнеться у жовтні 2026 року; самооцінювання розпочнеться у 2025 році.
  3. Рівень 3: Експерт (проактивний захист від високоризикових CUI)
    • FocusЗахищає від передових постійних загроз (APT) за допомогою розширеного контролю, що перевищує NIST 800-171.
    • ВимогаУсі елементи керування 2-го рівня плюс 24 додаткові NIST 800-172 практики (наприклад, розширене виявлення загроз, управління ризиками ланцюга поставок, методи обману).
    • ОцінкаОцінювання, яке проводить уряд, здійснюється Центром оцінки кібербезпеки оборонно-промислової бази (DIBCAC) на основі попередньої сертифікації C3PAO 2-го рівня. Кожні три роки з щорічним підтвердженням.
    • ЗастосовністьДля невеликої підмножини контрактів, що стосуються високочутливої ​​CUI, критично важливої ​​для національної безпеки.
    • ХронологіяПоетапне впровадження, починаючи з 2026–2027 років, переважно для окремих програм високого пріоритету.

Основні компоненти

  • Домени та практикиОрганізовано у 14 областях (наприклад, контроль доступу, оцінка ризиків) з можливостями та конкретними практиками. Рівні нарощуються кумулятивно — рівень 3 включає все, починаючи з рівнів 1 і 2.
  • Підрахунок очок та POA&MДля рівнів 2 та 3, впровадження оцінювальних балів (100% обов'язкове для повної сертифікації; часткові бали тимчасово дозволені через POA&M). Рівень 1 вимагає повного виконання всіх контрольних вимог.
  • АфірмаціїСтарші посадовці повинні щорічно підтверджувати відповідність вимогам у SPRS протягом усього терміну дії контракту.

Впровадження та часові рамки (станом на жовтень 2025 року)

  • Поетапне впровадження:
    • Фаза 1 (2025)Пункти CMMC містяться приблизно в 5–15% запитів; зосередження уваги на самооцінці для Рівнів 1 та деяких Рівнів 2.
    • Фаза 2 (2026): ~20–50% контрактів; посилення оцінок 2-го рівня від третіх сторін.
    • Фаза 3 (2027+)Усі відповідні контракти; повна інтеграція 3-го рівня.
  • сертифікація ПроцесОцінювання акредитованими C3PAO або DIBCAC; результати дійсні протягом трьох років.
  • ЗастосовністьУсі головні підрядники та субпідрядники, що обробляють FCI/CUI; спрямування здійснюється через пункти договору.
Графік аудиту CMMC рівня 2: чого очікувати від Lazarus Alliance

Графік аудиту CMMC рівня 2: чого очікувати від Lazarus Alliance

Команда Аудит CMMC рівня 2 (Високий/Середній рівень) в рамках сертифікації моделі зрілості кібербезпеки (CMMC) розроблено для організацій на базі оборонної промисловості (DIB), що працюють Контрольована несекретна інформація (CUI)—конфіденційні, але несекретні дані в контрактах Міністерства оборони. Він зосереджений на захисті від поширених кіберзагроз шляхом узгодження з усіма 110 NIST SP 800-171 Ред. 2 практики (наприклад, багатофакторна автентифікація, планування реагування на інциденти, захист медіа).

На відміну від 1-го рівня (самостійна оцінка), 2-й рівень зазвичай вимагає сертифікація третьої сторони по C3PAO, як і Альянс Лазаря кожен 3 роки, С щорічні афірмаціїСамооцінювання дозволено для контрактів з низьким рівнем ризику, але для більшості з них аудит третьою стороною є стандартним. Плани дій та ключові етапи (POA&M) допускати незначні зазори (повинні бути закритими всередині 180 днів), тимчасово дозволяючи часткові оцінки.

Lazarus Alliance, як сертифікований C3PAO, координує весь процес за допомогою наших Команди Cybervisor™ (має досвід у тисячах оцінювань). Вони визначають ваші точні потреби, проводять оцінювання та видають сертифікати після підтвердження зрілості в усіх аспектах 14 доменів (наприклад, контроль доступу, оцінка ризиків). Загальний графік становить 3–6 місяців від підготовки до сертифікації, залежно від наявності прогалин. Сертифікати дійсні для 3 рокиале щорічні підтвердження SPRS є обов'язковими.

Огляд ключів

  • ВимогаПовне впровадження 110 контрольних вимог NIST; для сертифікації потрібен 100% бал (сертифікати й послуги для незначних проблем).
  • Тип оцінкиТретя сторона (C3PAO) кожні 3 роки; щорічні підтвердження в Система оцінки ризиків діяльності постачальників (SPRS).
  • Вплив розгортання Міністерства оборони СШАПримусовий початок 2025 (самооцінювання для деяких); аудити третіх сторін посилюються в жовтень 2026 для контрактів з підвищеним ризиком (Фази 2–3 до 2028 року). Невідповідність виключає вас із участі в тендерах, пов’язаних із CUI.
  • Вартість та експертиза з Lazarus20 000–60 000+ доларів США за повний аудит (залежить від обсягу; підготовча підтримка ~10 000–20 000 доларів США). Їхні команди Cybervisor™ забезпечують ефективність, що відповідає вимогам Міністерства оборони США.

Покрокова шкала часу: чого очікувати

Ось поетапний процес з Lazarus Alliance. Терміни – це оцінки, що базуються на рекомендаціях CMMC та їхньому скоординованому підході.

Фаза Тривалість Що очікувати Роль Альянсу Лазаря
1. Підготовка та аналіз прогалин 4-8 тижнів - Оцінити поточний стан відповідно до 110 контрольних вимог NIST. - Зібрати докази (політики, конфігурації, журнали) у 14 доменах. - Підтвердити застосовність 2-го рівня (обробка CUI; відсутність винятків для COTS). - Розробити проекти POA&M для виявлення прогалин; впровадити швидкі рішення (наприклад, шифрування, аудит). - Безкоштовна консультація (+1-888-896-7580 або за допомогою форми) для визначення потреб. - Команда Cybervisor™ проводить перевірку готовності, надає дорожню карту/шаблони. - Визначає, чи підходить самостійна оцінка чи оцінка третьої сторони.
2. Впровадження та розробка POA&M 4-8 тижнів - Впровадження контролю (наприклад, управління доступом, навчання з підвищення обізнаності). - Розробка/відстеження довіреності до виконання (POA) для невідповідних елементів (потрібне закриття протягом 180 днів). - Внутрішнє тестування для імітації аудиту. - Консультативні вказівки: перегляд документації, визначення пріоритетів виправлень. - Експерти Cybervisor™ консультують щодо узгодження з NIST; позначають ризики ескалації до 3-го рівня.
3. Виконання оцінки третьою стороною 2-4 тижнів - Аудит на місці/дистанційний аудит: команда Lazarus оцінює докази, опитує персонал, тестує системи. - Оцінювання практик (часткове підтвердження відповідності вимогам); охоплює всі сфери. - Без суттєвих збоїв — поетапно протягом днів/тижнів. - Планувати та проводити повний аудит C3PAO з оцінювачами Cybervisor™. - Зворотній зв'язок у режимі реального часу; вирішувати будь-які нагальні проблеми.
4. Результати, сертифікація та публікація SPRS 1-2 тижнів - Отримання остаточного звіту/оцінки; закриття будь-яких остаточних запитів на підтвердження довіреності (POA&M). - Надіслати до SPRS; підтверджується старшим посадовцем. - Сертифікація надається, якщо ≥100% (після запиту на підтвердження довіреності). - Видавати сертифікат, дійсний протягом 3 років. - Допомагати у завантаженні/підтвердженні SPRS; підтверджувати видимість Міністерства оборони.
5. Поточне технічне обслуговування та переоцінка Щорічно + кожні 3 роки - Щорічні підтвердження в SPRS. - Моніторинг змін (наприклад, нових контрактів CUI). - Повторний аудит кожні 3 роки. - Щорічні перевірки Cybervisor™ на предмет дотримання вимог. - Сповіщення про оновлення Міністерства оборони; безперебійна підтримка переатестації.

Ширший контекст розгортання Міністерства оборони США (впливає на забезпечення дотримання 2-го рівня)

  • 2025 (Фаза 1)Самооцінка для деяких 2-го рівня у 5–15% запитів.
  • 2026 (Фаза 2)Аудит третьої сторони є обов'язковим для контрактів CUI з високим рівнем ризику (охоплення 20–50%).
  • 2027+ (Фаза 3)Універсальний для всіх контрактів на обробку CUI.

Потенційні труднощі та поради

  • Загальні пасткиЗатримки з POA&M або неповні докази — Використання FedRAMP авторизував Continuum GRC ITAM SaaS А.ІТАМ, А.ІТАМБот та Шаблони допомогти запобігти цьому.
  • Підвищення рівнівЛегкий перехід до рівня 3 (додає NIST 800-172) за потреби.
  • ЗверненняФайл усередині 14 днів звіту (наприклад, за помилки оцінювача); Лазар переоцінює в 21 днів через eMASS, згідно з ISO/IEC 17020 — жодних репресій. Зверніться до Cyber ​​AB у Днів 10 бізнесу якщо це необхідно.

Щоб отримати індивідуальний графік, зверніться до Lazarus Alliance за номером +1 (888) 896-7580 — вони пропонують безризикові консультації для узгодження розгортання після 2025 року та забезпечення ваших можливостей у Міністерстві оборони.

Сертифікація CMMC та оцінювання 2-го рівня – Lazarus Alliance C3PAO

Поширені запитання

Типові терміни: 3–6 місяців від початку до сертифікації. Аналіз прогалин (4–8 тижнів) + корекція + остаточний аналіз C3PAO оцінювання (2–4 тижні). Lazarus Alliance завершила сертифікацію 2-го рівня всього за 10 тижнів для добре підготовлених клієнтів.

  • Рівень 1: Тільки інформація про федеральні контракти (FCI) → щорічна самооцінка
  • Рівень 2: Контрольована несекретна інформація (CUI) → третя сторона C3PAO сертифікація (найпоширеніша)
  • Рівень 3: Програми CUI високого ризику → урядова (DIBCAC) програма Lazarus Alliance проводить безкоштовний консультаційний дзвінок для підтвердження вашого точного рівня.

Як сертифікована організація з оцінки третьої сторони CMMC (C3PAO)Lazarus Alliance координує оцінювання, визначає необхідний рівень сертифікації на основі потреб бізнесу та проводить оцінювання за допомогою досвідчених команд Cybervisor™. Після успішної демонстрації зрілості можливостей та процесів кібербезпеки ми видаємо сертифікат, дійсний терміном на три роки, з обов'язковим щорічним підтвердженням.

Процес включає: (1) Визначення вашого рівня на основі оброблених даних; (2) Впровадження необхідних заходів контролю (з Планами дій та етапами для незначних прогалин на Рівнях 2/3); (3) Проходження оцінювання фахівцем C3PAO (як і Альянс Лазаря) для рівнів 1-2 або DIBCAC для рівня 3; (4) публікація результатів та підтверджень у Системі оцінки ризиків ефективності постачальників (SPRS); та (5) щорічне забезпечення відповідності вимогам. Сертифікації діють три роки, а повне впровадження поетапно триває до 2028 року.

Вимоги CMMC з'являться в тендерах Міністерства оборони США, починаючи з жовтня 2025 року, з поетапним впровадженням протягом трьох років:

  • 2025 (Фаза 1)5-15% контрактів, зосереджених на самооцінці для Рівнів 1 та деяких Рівнів 2.
  • 2026 (Фаза 2)20-50% контрактів, що збільшує оцінки третіх сторін рівня 2.
  • 2027+ (Фаза 3)Повна інтеграція всіх застосовних контрактів, включаючи Рівень 3. Невідповідність позбавить організації можливості брати участь у відповідних тендерах.

Усі головні підрядники та субпідрядники Міністерства оборони, які працюють з FCI або CUI в DIB, повинні дотримуватися вимог на належному рівні. Це стосується більшості підприємств, пов'язаних з обороною, але винятки можуть застосовуватися до комерційних готових до використання товарів (COTS). Якщо ваша організація має справу з конфіденційними даними Міністерства оборони, навіть опосередковано через ланцюг поставок, сертифікація є важливою.

CMMC 2.0 – це обов’язкова програма сертифікації з кібербезпеки Міністерства оборони США, яка захищає FCI та CUI. Вимоги почнуть з’являтися в контрактах Міністерства оборони наприкінці 2025 року, а повне виконання всіх відповідних контрактів набуде 2028 року. Недотримання вимог дискваліфікує вас від участі в тендері.

Lazarus Alliance надає експертні послуги з кібербезпеки, дотримання вимог та управління ризиками, включаючи міжнародні аудити, федеральні оцінки та рішення з управління ІТ, забезпечуючи підприємствам надійну безпеку та відповідність нормативним вимогам.

Довідки, на які ви можете покластися

Сертифікація CMMC та оцінювання 2-го рівня – Lazarus Alliance C3PAO

Номер сертифікації Американської асоціації з акредитації лабораторій (A2LA) ISO/IEC 17020 3822.01

Сертифікація CMMC та оцінювання 2-го рівня – Lazarus Alliance C3PAO

Міністерство оборони (DoD) Сертифікація моделі зрілості кібербезпеки (CMMC) CMMC Стороння організація з оцінки (C3PAO).

Поговоріть з одним із наших експертів

Наші команди Lazarus Alliance Cybervisor™ мають досвід проведення тисяч оцінок для організацій, що надають послуги клієнтам по всьому світу.

Ми тут, щоб відповісти на будь-які ваші запитання.

Завантажте брошуру нашої компанії.

Послуги Альянсу Лазаря

Переваги відповідності CMMC

Відповідність вимогам CMMC (сертифікації моделі зрілості кібербезпеки) пропонує кілька переваг для організацій, особливо тих, хто співпрацює з Міністерством оборони США (DoD) або має справу з контрольованою несекретною інформацією (CUI). Нижче наведено основні переваги:

  1. Доступ до контрактів Міністерства оборони СШАДотримання вимог CMMC є обов'язковим для організацій, які беруть участь у тендерах на контракти Міністерства оборони США або підтримують їх. Досягнення необхідного рівня CMMC (1-3, залежно від контракту) гарантує право на співпрацю з Міністерством оборони США, відкриваючи значні бізнес-можливості в оборонному секторі.
  2. Покращена кібербезпекаCMMC надає структуровану основу для впровадження надійних практик кібербезпеки. Відповідність допомагає організаціям захищати конфіденційні дані, такі як CUI, від кіберзагроз, зменшуючи ризик витоків даних, програм-вимагачів та інших атак.
  3. конкурентні перевагиДемонстрація відповідності CMMC сигналізує клієнтам, партнерам і постачальникам про те, що ваша організація надає пріоритет кібербезпеці. Це може виділити ваш бізнес на конкурентному ринку, особливо під час участі в тендерах на контракти, що вимагають високих стандартів безпеки.
  4. Пом'якшення ризиківДотримуючись вимог CMMC, організації зменшують вразливості та покращують свою здатність виявляти, реагувати та відновлюватися після кіберінцидентів. Це мінімізує фінансові, правові та репутаційні ризики, пов’язані з витоками даних або штрафами за невідповідність.
  5. Покращена довіра та надійністьДотримання вимог CMMC формує довіру з Міністерством оборони США, іншими державними установами та комерційними партнерами. Це демонструє прагнення до захисту конфіденційної інформації, покращуючи репутацію вашої організації як безпечного та надійного партнера.
  6. Оптимізовані процеси безпекиCMMC заохочує впровадження стандартизованих, повторюваних практик кібербезпеки. Це призводить до більш ефективної роботи, оскільки організації впроваджують узгоджені політики, процедури та засоби контролю, адаптовані до їхнього рівня зрілості.
  7. Відповідність галузевим стандартамCMMC побудовано на існуючих фреймворках, таких як NIST 800-171, ISO 27001 та інших. Відповідність забезпечує узгодженість із загальновизнаними стандартами кібербезпеки, що може сприяти дотриманню інших правил або сертифікацій.
  8. Довгострокова економія коштівХоча досягнення відповідності вимогам CMMC вимагає початкових інвестицій, воно може зменшити витрати, пов’язані з кіберінцидентами, юридичною відповідальністю та втратою бізнесу через недотримання вимог. Проактивний підхід до кібербезпеки мінімізує ймовірність дороговартісних збоїв.
  9. Масштабованість і гнучкістьБагаторівневі рівні зрілості CMMC дозволяють організаціям масштабувати свої практики кібербезпеки відповідно до чутливості даних, з якими вони обробляють. Це гарантує, що малий та середній бізнес може досягти відповідності вимогам без надмірних ресурсних вимог.
  10. Безпека ланцюга поставокВідповідність вимогам CMMC зміцнює загальну безпеку ланцюга поставок Міністерства оборони США, гарантуючи, що всі підрядники та субпідрядники відповідають мінімальним стандартам кібербезпеки. Ці колективні зусилля знижують системні ризики в оборонно-промисловій базі.

Підсумовуючи, дотримання вимог CMMC не лише забезпечує доступ до контрактів Міністерства оборони, але й зміцнює кібербезпеку, репутацію та операційну ефективність організації, забезпечуючи як негайні, так і довгострокові переваги. Щоб отримати конкретну інформацію про впровадження або витрати, організації можуть звернутися до таких ресурсів, як веб-сайт CMMC Міністерства оборони, або проконсультуватися із сертифікованими оцінювачами CMMC, такими як Lazarus Alliance.

Lazarus Alliance надає експертні послуги з кібербезпеки, дотримання вимог та управління ризиками, включаючи міжнародні аудити, федеральні оцінки та рішення з управління ІТ, забезпечуючи підприємствам надійну безпеку та відповідність нормативним вимогам.

Питання, проблеми, скарги та апеляції

Процес вирішення суперечок переглядається керівництвом Lazarus Alliance щорічно або за необхідності змін.

Загальні адміністративні вимоги

  1.  Уповноважені та акредитовані C3PAO, такі як Lazarus Alliance, повинні мати задокументований процес отримання, оцінки та прийняття рішень щодо апеляцій відповідно до цих вимог.ISO/IEC 17020 7.5.1)
  2. Опис внутрішнього процесу розгляду апеляцій уповноваженого та акредитованого C3PAO має бути доступний будь-якій зацікавленій стороні за запитом. (ISO/IEC 17020 7.5.2)
  3. Процес розгляду апеляцій повинен включати принаймні такі елементи та методи:
    1. Опис процесу уповноваженого або акредитованого C3PAO для отримання, підтвердження, дослідження апеляції та прийняття рішення про те, які дії необхідно вжити у відповідь на неї;
    2. Процес забезпечення своєчасного вжиття відповідних заходів уповноваженим або акредитованим C3PAO. (ISO/IEC 17020 7.6.1)
    3. Процес відстеження та реєстрації апеляцій уповноваженими або акредитованими C3PAO, включаючи дії, вжиті для вирішення апеляцій, полягає в внесенні даних про апеляцію до Служби підтримки забезпечення корпоративної місії CMMC (eMASS).
    4. Уповноважені та акредитовані C3PAO повинні підтвердити отримання апеляції та надати апелянту звіти про хід і результати. (ISO/IEC 17020 7.6.3)
  4. Уповноважені та акредитовані C3PAO, які отримують апеляцію, несуть відповідальність за збір і перевірку всієї необхідної інформації для підтвердження апеляції. (ISO/IEC 17020 7.6.2)
  5. Усі апеляції, подані OSC до уповноваженого або акредитованого C3PAO, повинні бути розглянуті та затверджені сертифікованим оцінювачем або співробітником відділу контролю якості, який не брав участі у відповідних початкових інспекційних заходах.
  6. Уповноважені або акредитовані C3PAO повторні оцінки та рішення щодо поданих апеляцій не повинні призводити до будь-яких дискримінаційних дій проти будь-якої особи чи OSC, які подають апеляцію. (ISO/IEC 17020 7.5.5)

Звернення

  1. Після отримання остаточного звіту про оцінку від уповноваженого або акредитованого C3PAO OSC має право оскаржити результати сертифікаційного рішення CMMC, якщо OSC вважає, що їх невиконання пов’язано з:

    1. Зловживання

    2. Неетична поведінка,

    3. Помилка від імені уповноваженого або акредитованого C3PAO або експертів, які проводили оцінювання.

  2. Після отримання остаточного звіту про оцінку CMMC OSC має до 14 календарних днів, щоб подати апеляцію з запитом на подальше рішення щодо відповідності практикам або процесам, які організація оскаржує, на основі критеріїв, викладених у 5.1.

  3. Отримавши апеляцію OSC, уповноважений або акредитований C3PAO повинен записати апеляцію в CMMC eMASS і провести огляд практик або процесів, які є предметом суперечки.

  4. Після отримання апеляції, уповноважений або акредитований C3PAO проводить повторну оцінку у координації з OSC. Розслідування C3PAO може включати перегляд раніше наданих OSC доказів, які були хешовані OSC, та консультації з початковою групою оцінювання та персоналом OSC, за необхідності.

  5. Після отримання апеляції уповноважений або акредитований C3PAO матиме 21 календарний день, щоб провести повторну оцінку спірних практик і процесів і надати своє судове рішення OSC. Одночасно уповноважений або акредитований C3PAO повинен завантажити таку інформацію в CMMC eMASS:

    1. Будь-які поправки до його початкового звіту про оцінку на основі результатів його повторної оцінки

    2. Ім'я керівника групи, яка проводить повторну оцінку на підтримку апеляції

    3. Результат розгляду апеляції

    4. Орган C3PAO, який затверджує повторну оцінку та результат апеляції

  6. Якщо OSC спростує або заперечить рішення щодо їхньої апеляції щодо оцінки, винесене C3PAO, вони можуть подати свою апеляцію до Cyber ​​AB. OSC повинні подати свою апеляцію до Cyber ​​AB протягом десяти (10) робочих днів з моменту отримання рішення щодо їхньої апеляції щодо оцінки від C3PAO у письмовій формі.

    Усі апеляції, подані Комітетом з питань етики та відповідності Cyber ​​AB, є остаточними.

Форма для запитань, занепокоєнь, скарг та апеляцій

Ми хочемо бути вашим партнером і Організація з оцінювання третіх сторін CMMC (C3PAO) оцінювач аудиту відповідності на ваш вибір! Для отримання додаткової інформації, будь ласка, зателефонуйте + 1 (888) 896-7580.

 

Хочете отримати швидший термін отримання цінової пропозиції? Заповніть нашу анкету тут: