3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.2.1
3.2.2
3.2.3
AC
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.9.1
3.9.2
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
3.12.1
3.12.2
3.12.3
3.12.4
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
AT
AU
CM
IA
IR
MA
MP
PS
PE
RM
CA
SC
SI
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
3.9.1
3.9.2
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
3.12.1
3.12.2
3.12.3
3.12.4
3.2.1
3.2.2
3.2.3
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
IR.2.093
IR.2.094
IR.2.095
IR.2.096
IR.2.097
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
3.9.1
3.9.2
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
RM.2.141
RM.2.142
RM.2.143
3.12.1
3.12.2
3.12.3
3.12.4
3.2.1
3.2.2
3.2.3
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
SC.3.192
SC.3.193
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
IR.2.093
IR.2.094
IR.2.095
IR.2.096
IR.2.097
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
SI.3.218
SI.3.219
SI.3.220
3.9.1
3.9.2
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
RM.2.141
RM.2.142
RM.2.143
RM.3.144
RM.3.146
3.12.1
3.12.2
3.12.3
3.12.4
3.2.1
3.2.2
3.2.3
NIST 800-171
CMMC:
Level 1
Level 2
Level 3
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
3.9.1
3.9.2
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
3.12.1
3.12.2
3.12.3
3.12.4
3.2.1
3.2.2
3.2.3
NIST 800-171
CMMC:
Level 1
Level 2
Level 3
NIST 800-171
• Establish system access requirements
• Control internal system access
• Control remote system access
• Limit data access to authorized users and processes
Access Control (AC)
• Conduct security awareness activities
• Conduct training
Awareness and Training (AT)
• Define audit requirements
• Perform auditing
• Identify and protect audit information
• Review and manage audit logs
Audit and Accountability (AU)
• Establish configuration baselines
• Perform configuration and change management
Configuration Management (CM)
• Grant access to authenticated entities
Identification and Authentication (IA)
• Plan incident response
• Detect and report events
• Develop and implement a response to declared incident
• Perform post-incident reviews
• Test incident response
Incident Response (IR)
• Manage maintenance
Maintenance (MA)
• Identify and mark media
• Protect and control media
• Sanitize media
• Protect media during transport
Media Protection (MP)
• Screen personnel
• Protect CUI during personnel actions
Personnel Security (PS)
• Limit physical access
Physical Protection (PE)
• Identify and evaluate risk
• Manage risk
Risk Management (RM)
• Develop and manage a system security plan
• Define and manage controls
• Perform code reviews
Security Assessment (CA)
• Define security requirements for system and communications
• Control communications at system boundaries
Systems and Communications Protection (SC)
• Identify and manage information system flaws
• Identify malicious content
• Perform network and system monitoring
• Implement advanced email protections
System and Information Integrity (SI)
AM
RE
SA
RE.2.137
RE.2.138
• Identify and document assets
Asset Management (AM)
• Manage back-ups
Recovery (RE)
• Implement threat monitoring
Situational Awareness (SA)
RE.2.137
RE.2.138
RE.3.139
SA.3.19
AM.3.036
Level 4
Level 5
SC.3.192
SC.3.193
SC.4.197
SC.4.228
SC.4.199
SC.4.202
SC.4.229
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
IR.2.093
IR.2.094
IR.2.095
IR.2.096
IR.2.097
IR.4.100
IR.4.101
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
AU.4.053
AU.4.054
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
CM.4.073
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
RE.2.137
RE.2.138
RE.3.139
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
SI.3.218
SI.3.219
SI.3.220
SI.4.221
3.9.1
3.9.2
SA.3.19
SA.4.171
SA.4.173
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
AM.3.036
AM.4.226
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
RM.2.141
RM.2.142
RM.2.143
RM.3.144
RM.3.146
RM.4.148
RM.4.149
RM.4.150
RM.4.151
3.12.1
3.12.2
3.12.3
3.12.4
CA.4.163
CA.4.164
CA.4.227
3.2.1
3.2.2
3.2.3
AT.4.059
AT.4.060
AC.4.023
AC.4.025
AC.4.032
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.1.12
3.1.13
3.1.14
3.1.15
3.1.16
3.1.17
3.1.18
3.1.19
3.1.20
3.1.21
3.1.22
3.2.1
3.2.2
3.2.3
AT.4.059
AT.4.060
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
AU.4.053
AU.4.054
AU.5.055
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.4.9
CM.4.073
CM.5.074
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
3.5.10
3.5.11
3.6.1
3.6.2
3.6.3
IR.2.093
IR.2.094
IR.2.095
IR.2.096
IR.2.097
IR.4.100
IR.4.101
IR.5.106
IR.5.102
IR.5.108
IR.5.110
AC.4.023
AC.4.025
AC.4.032
AC.5.024
3.7.1
3.7.2
3.7.3
3.7.4
3.7.5
3.7.6
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.9
3.9.1
3.9.2
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11.1
3.11.2
3.11.3
RM.2.141
RM.2.142
RM.2.143
RM.3.144
RM.3.146
RM.4.148
RM.4.149
RM.4.150
RM.4.151
RM.5.152
RM.5.155
RE.2.137
RE.2.138
RE.3.139
RE.5.140
3.12.1
3.12.2
3.12.3
3.12.4
CA.4.163
CA.4.164
CA.4.227
SC.3.192
SC.3.193
SC.4.197
SC.4.228
SC.4.199
SC.4.202
SC.4.229
SC.5.198
SC.5.230
SC.5.208
3.13.1
3.13.2
3.13.3
3.13.4
3.13.5
3.13.6
3.13.7
3.13.8
3.13.9
3.13.10
3.13.11
3.13.12
3.13.13
3.13.14
3.13.15
3.13.16
3.14.1
3.14.2
3.14.3
3.14.4
3.14.5
3.14.6
3.14.7
SI.3.218
SI.3.219
SI.3.220
SI.4.221
SI.5.222
SI.5.223
SA.3.19
SA.4.171
SA.4.173
AM.3.036
AM.4.226
CMMC controls not included in NIST 800-171
Level 1: Basic Cyber Hygiene (17 Practices)
Level 2: Intermediate Cyber Hygiene (72 Practices)
Level 4: Proactive Cyber Hygiene (156 Practices)
Level 3: Good Cyber Hygiene (130 Practices)
Level 5: Advanced Cyber Hygiene (171 Practices)