يجب حماية أنظمة المعلومات من الوصول غير المصرح به أو الاستخدام أو الكشف أو الاعتراض أو التدمير. يعد أمن هذه الأنظمة أمرًا ضروريًا لسرية وسلامة وتوافر المعلومات التي تتم معالجتها وتخزينها داخلها. يجب أن يضمن مستخدمو تقنية المعلومات (IT) الذين لديهم إمكانية الوصول إلى المعلومات غير المصنفة الخاضعة للرقابة (CUI) أن جميع CUI محمية بموجب القوانين واللوائح والسياسات. شهادة نموذج نضج الأمن السيبراني (CMMC) عبارة عن إطار عمل يوجه تنفيذ الضوابط والممارسات الأمنية عبر خمسة مستويات للنضج. الهدف من CMMC هو تقليل المخاطر السيبرانية على CUI داخل سلسلة التوريد التابعة لوزارة الدفاع (DoD). ستحتاج المنظمات التي تسعى إلى القيام بأعمال تجارية مع وزارة الدفاع إلى الحصول على اعتماد في أحد مستويات CMMC الخمسة ، اعتمادًا على CUI التي يمكنهم الوصول إليها. تعد خطة أمان نظام CMMC (SSP) مكونًا مطلوبًا في عملية اعتماد CMMC. SSP عبارة عن مستند حي يصف الوضع الأمني للمؤسسة ويفصل الضوابط والممارسات الأمنية المعمول بها لحماية CUI. يجب تحديث SSP عند إجراء تغييرات على الوضع الأمني للمؤسسة. يتضمن SSP معلومات عن أنواع البيانات المخزنة أو المعالجة أو المنقولة بواسطة النظام ، والتدابير الأمنية المستخدمة لحماية النظام ، وإجراءات إدارة الحوادث