Where CMMC Begins and NIST Ends

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

SA.3.19 SA.4.171 SA.4.173

• Define security requirements for system and communications • Control communications at system boundaries

3.12.1 3.12.2 3.12.3 3.12.4

• Implement threat monitoring

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.9.1 3.9.2

CMMC:

Configuration Management (CM)

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

Media Protection (MP)

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7 SI.3.218 SI.3.219 SI.3.220 SI.4.221

SA.3.19

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.2.1 3.2.2 3.2.3 AT.4.059 AT.4.060

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

• Identify and document assets

3.6.1 3.6.2 3.6.3

Awareness and Training (AT)

3.2.1 3.2.2 3.2.3

3.9.1 3.9.2

Level 2

NIST 800-171

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

• Manage maintenance

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

System and Information Integrity (SI)

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

Incident Response (IR)

AM.3.036 AM.4.226

• Identify and evaluate risk • Manage risk

3.2.1 3.2.2 3.2.3

3.11.1 3.11.2 3.11.3

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.12.1 3.12.2 3.12.3 3.12.4

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

• Screen personnel • Protect CUI during personnel actions

• Define audit requirements • Perform auditing • Identify and protect audit information • Review and manage audit logs

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143 RM.3.144 RM.3.146 RM.4.148 RM.4.149 RM.4.150 RM.4.151

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

SC.3.192 SC.3.193 SC.4.197 SC.4.228 SC.4.199 SC.4.202 SC.4.229

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.12.1 3.12.2 3.12.3 3.12.4

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143 RM.3.144 RM.3.146 RM.4.148 RM.4.149 RM.4.150 RM.4.151 RM.5.152 RM.5.155

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9 AU.4.053 AU.4.054

3.12.1 3.12.2 3.12.3 3.12.4 CA.4.163 CA.4.164 CA.4.227

Security Assessment (CA)

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097 IR.4.100 IR.4.101 IR.5.106 IR.5.102 IR.5.108 IR.5.110

SA.3.19 SA.4.171 SA.4.173

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16 SC.3.192 SC.3.193

CMMC controls not included in NIST 800-171

3.2.1 3.2.2 3.2.3 AT.4.059 AT.4.060

Level 2: Intermediate Cyber Hygiene (72 Practices)

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 CM.4.073 CM.5.074

Level 3: Good Cyber Hygiene (130 Practices)

Level 4

3.9.1 3.9.2

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

• Grant access to authenticated entities

Level 3

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

Physical Protection (PE)

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

Recovery (RE)

3.9.1 3.9.2

Level 1

NIST 800-171

• Establish system access requirements • Control internal system access • Control remote system access • Limit data access to authorized users and processes

RE.2.137 RE.2.138

3.6.1 3.6.2 3.6.3

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

Situational Awareness (SA)

• Identify and manage information system flaws • Identify malicious content • Perform network and system monitoring • Implement advanced email protections

• Conduct security awareness activities • Conduct training

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

Level 1

Level 3

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097

• Plan incident response • Detect and report events • Develop and implement a response to declared incident • Perform post-incident reviews • Test incident response

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

Identification and Authentication (IA)

3.12.1 3.12.2 3.12.3 3.12.4

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143

3.2.1 3.2.2 3.2.3

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

Risk Management (RM)

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097

Systems and Communications Protection (SC)

3.9.1 3.9.2

Asset Management (AM)

Audit and Accountability (AU)

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143 RM.3.144 RM.3.146

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

NIST 800-171

• Establish configuration baselines • Perform configuration and change management

3.12.1 3.12.2 3.12.3 3.12.4

• Identify and mark media • Protect and control media • Sanitize media • Protect media during transport

RE.2.137 RE.2.138 RE.3.139

AC.4.023 AC.4.025 AC.4.032

3.12.1 3.12.2 3.12.3 3.12.4 CA.4.163 CA.4.164 CA.4.227

Maintenance (MA)

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

• Manage back-ups

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

• Limit physical access

3.11.1 3.11.2 3.11.3

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7 SI.3.218 SI.3.219 SI.3.220

CMMC:

3.2.1 3.2.2 3.2.3

Access Control (AC)

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

Level 2

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

SC.3.192 SC.3.193 SC.4.197 SC.4.228 SC.4.199 SC.4.202 SC.4.229 SC.5.198 SC.5.230 SC.5.208

AC.4.023 AC.4.025 AC.4.032 AC.5.024

Level 5

3.6.1 3.6.2 3.6.3

3.11.1 3.11.2 3.11.3

3.9.1 3.9.2

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097 IR.4.100 IR.4.101

RE.2.137 RE.2.138 RE.3.139 RE.5.140

• Develop and manage a system security plan • Define and manage controls • Perform code reviews

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 CM.4.073

Personnel Security (PS)

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7 SI.3.218 SI.3.219 SI.3.220 SI.4.221 SI.5.222 SI.5.223

3.2.1 3.2.2 3.2.3

AM.3.036 AM.4.226

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

Level 1: Basic Cyber Hygiene (17 Practices)

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9 AU.4.053 AU.4.054 AU.5.055

Level 4: Proactive Cyber Hygiene (156 Practices)

AM.3.036

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

Level 5: Advanced Cyber Hygiene (171 Practices)