Where CMMC Begins and NIST Ends

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.2.1 3.2.2 3.2.3

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.9.1 3.9.2

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3

3.12.1 3.12.2 3.12.3 3.12.4

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

3.9.1 3.9.2

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3

3.12.1 3.12.2 3.12.3 3.12.4

3.2.1 3.2.2 3.2.3

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

3.9.1 3.9.2

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143

3.12.1 3.12.2 3.12.3 3.12.4

3.2.1 3.2.2 3.2.3

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16 SC.3.192 SC.3.193

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7 SI.3.218 SI.3.219 SI.3.220

3.9.1 3.9.2

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143 RM.3.144 RM.3.146

3.12.1 3.12.2 3.12.3 3.12.4

3.2.1 3.2.2 3.2.3

NIST 800-171

CMMC:

Level 1

Level 2

Level 3

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7

3.9.1 3.9.2

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3

3.12.1 3.12.2 3.12.3 3.12.4

3.2.1 3.2.2 3.2.3

NIST 800-171

CMMC:

Level 1

Level 2

Level 3

NIST 800-171

• Establish system access requirements • Control internal system access • Control remote system access • Limit data access to authorized users and processes

Access Control (AC)

• Conduct security awareness activities • Conduct training

Awareness and Training (AT)

• Define audit requirements • Perform auditing • Identify and protect audit information • Review and manage audit logs

Audit and Accountability (AU)

• Establish configuration baselines • Perform configuration and change management

Configuration Management (CM)

• Grant access to authenticated entities

Identification and Authentication (IA)

• Plan incident response • Detect and report events • Develop and implement a response to declared incident • Perform post-incident reviews • Test incident response

Incident Response (IR)

• Manage maintenance

Maintenance (MA)

• Identify and mark media • Protect and control media • Sanitize media • Protect media during transport

Media Protection (MP)

• Screen personnel • Protect CUI during personnel actions

Personnel Security (PS)

• Limit physical access

Physical Protection (PE)

• Identify and evaluate risk • Manage risk

Risk Management (RM)

• Develop and manage a system security plan • Define and manage controls • Perform code reviews

Security Assessment (CA)

• Define security requirements for system and communications • Control communications at system boundaries

Systems and Communications Protection (SC)

• Identify and manage information system flaws • Identify malicious content • Perform network and system monitoring • Implement advanced email protections

System and Information Integrity (SI)

RE.2.137 RE.2.138

• Identify and document assets

Asset Management (AM)

• Manage back-ups

Recovery (RE)

• Implement threat monitoring

Situational Awareness (SA)

RE.2.137 RE.2.138 RE.3.139

SA.3.19

AM.3.036

Level 4

Level 5

SC.3.192 SC.3.193 SC.4.197 SC.4.228 SC.4.199 SC.4.202 SC.4.229

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097 IR.4.100 IR.4.101

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9 AU.4.053 AU.4.054

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 CM.4.073

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

RE.2.137 RE.2.138 RE.3.139

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7 SI.3.218 SI.3.219 SI.3.220 SI.4.221

3.9.1 3.9.2

SA.3.19 SA.4.171 SA.4.173

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

AM.3.036 AM.4.226

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143 RM.3.144 RM.3.146 RM.4.148 RM.4.149 RM.4.150 RM.4.151

3.12.1 3.12.2 3.12.3 3.12.4 CA.4.163 CA.4.164 CA.4.227

3.2.1 3.2.2 3.2.3 AT.4.059 AT.4.060

AC.4.023 AC.4.025 AC.4.032

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 3.1.13 3.1.14 3.1.15 3.1.16 3.1.17 3.1.18 3.1.19 3.1.20 3.1.21 3.1.22

3.2.1 3.2.2 3.2.3 AT.4.059 AT.4.060

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9 AU.4.053 AU.4.054 AU.5.055

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 CM.4.073 CM.5.074

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.5.11

3.6.1 3.6.2 3.6.3 IR.2.093 IR.2.094 IR.2.095 IR.2.096 IR.2.097 IR.4.100 IR.4.101 IR.5.106 IR.5.102 IR.5.108 IR.5.110

AC.4.023 AC.4.025 AC.4.032 AC.5.024

3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6

3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.8.6 3.8.7 3.8.8 3.8.9

3.9.1 3.9.2

3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6

3.11.1 3.11.2 3.11.3 RM.2.141 RM.2.142 RM.2.143 RM.3.144 RM.3.146 RM.4.148 RM.4.149 RM.4.150 RM.4.151 RM.5.152 RM.5.155

RE.2.137 RE.2.138 RE.3.139 RE.5.140

3.12.1 3.12.2 3.12.3 3.12.4 CA.4.163 CA.4.164 CA.4.227

SC.3.192 SC.3.193 SC.4.197 SC.4.228 SC.4.199 SC.4.202 SC.4.229 SC.5.198 SC.5.230 SC.5.208

3.13.1 3.13.2 3.13.3 3.13.4 3.13.5 3.13.6 3.13.7 3.13.8 3.13.9 3.13.10 3.13.11 3.13.12 3.13.13 3.13.14 3.13.15 3.13.16

3.14.1 3.14.2 3.14.3 3.14.4 3.14.5 3.14.6 3.14.7 SI.3.218 SI.3.219 SI.3.220 SI.4.221 SI.5.222 SI.5.223

SA.3.19 SA.4.171 SA.4.173

AM.3.036 AM.4.226

CMMC controls not included in NIST 800-171

Level 1: Basic Cyber Hygiene (17 Practices)

Level 2: Intermediate Cyber Hygiene (72 Practices)

Level 4: Proactive Cyber Hygiene (156 Practices)

Level 3: Good Cyber Hygiene (130 Practices)

Level 5: Advanced Cyber Hygiene (171 Practices)