本证明由埃赛力达内部评估机构 - 埃赛力达IT治理风险与合规 (GRC) 提供,以证明其已验证埃赛力达组织系统符合NIST CSF和NIST SP800.171 rev.1控制和实践的要求,以及2年12月3日2021版本的CMMC改进关键基础设施网络安全中的规定。
NIST CSF是根据第13636号总统行政命令制定的,它提供了一种通用语言,根据企业的需要,以经济有效的方式应对和管理网络安全风险,不对企业提出额外的监管要求。虽然NIST CSF仅作为指导,但埃赛力达运用CSF并加以定制,以契合自身的风险、状况和需求。埃赛力达主动采取这一方式,使用国防部的评分方法创建了一个安全态势评分矩阵,并将安全实践与埃赛力达的网络安全政策匹配。安全态势评分矩阵由埃赛力达团队创建,以证明NIST SP800.171 r1安全实践和埃赛力达内部安全政策的一致性。
埃赛力达GRC(治理风险与合规)使用NIST SP800.171A评估指南进行了内部评估,指出安全实践和控制已在安全态势矩阵中得到评估和说明,并与相应的NIST安全控制要求保持一致。GRC记录了埃赛力达对实施已确定的安全控制的责任,以及任何适用的客户责任。GRC采用了CMMC版本2/NIST SP800-171A,其中包括保护FCI(联邦合同信息)和CUI(受控非机密信息)的指导和评估标准。这些新增内容为管理潜在风险的关键网络安全提供了进一步保证。
经过GRC内部评估和对埃赛力达环境的了解,我们确定埃赛力达证明了其组织系统与NIST CSF、NIST SP800.171r1的一致性,并实施了相关的安全控制。
此致,
Amit Shah
首席信息官