Cette attestation est fournie par Excelitas IT Governance Risk and Compliance (GRC), un organisme d'évaluation interne d'Excelitas, pour attester qu'il a validé que le système organisationnel d'Excelitas est conforme aux contrôles et pratiques du cadre de cybersécurité du NIST et de la publication du NIST SP800.171, rév. 1, et aux dispositions définies dans la CMMC pour l'amélioration de la cybersécurité des infrastructures critiques, version 2, en date du 3 décembre 2021.
Le cadre de cybersécurité du NIST a été créé à la suite du décret présidentiel 13636 et fournit un langage commun pour aborder et gérer les risques de cybersécurité de manière rentable en fonction des besoins des entreprises, sans leur imposer de contraintes réglementaires supplémentaires. Bien que le cadre de cybersécurité du NIST ne soit qu'un guide, Excelitas l'utilise et l'adapte en fonction des risques, des situations et des besoins. Excelitas a adopté cette approche de manière proactive en créant une matrice de notation de la posture de sécurité à l'aide de la méthodologie de notation du département de la Défense et en faisant correspondre les pratiques de sécurité aux politiques de cybersécurité d'Excelitas. La matrice de notation de la posture de sécurité a été créée par l'équipe d'Excelitas pour démontrer l'alignement des pratiques de sécurité définies dans la publication SP800.171, rév. 1, du NIST et des politiques de sécurité internes d'Excelitas.
L'évaluation interne réalisée par l'organisme de gouvernance, gestion des risques et conformité (GRC) d'Excelitas à l'aide du guide d'évaluation SP800.171A du NIST a démontré que les pratiques et contrôles de sécurité ont été évalués et pris en compte dans la matrice de posture de sécurité et qu'ils sont alignés avec les exigences de contrôle de sécurité correspondantes du NIST. L'organisme de GRC a documenté la responsabilité d'Excelitas quant à la mise en œuvre du ou des contrôles de sécurité identifiés, ainsi que toute responsabilité applicable du client. L'organisme de GRC a utilisé la version 2 de la CMMC et la publication SP800-171A du NIST, qui comprend des conseils et des critères d'évaluation pour la protection des informations sur les contrats fédéraux et des informations non classifiées contrôlées. Ces ajouts fournissent un niveau d'assurance supplémentaire quant aux résultats clés en matière de cybersécurité pour la gestion des risques potentiels.
À la suite l'évaluation interne de l'organisme de GRC et à la compréhension de l'environnement d'Excelitas, nous avons déterminé qu'Excelitas a démontré la conformité de son système organisationnel au cadre de cybersécurité du NIST, à la publication SP800.171r1 du NIST et aux contrôles de sécurité référencés.
Cordialement,
Amit Shah
Directeur des systèmes d’information