会员服务
分析 · 一致 · 成熟度 · 成熟度模型 · 系统 ·
2 月 10 日
The Need for Standardized Evidence Sampling in CMMC Assessments: A Survey-Based Analysis of Assessor Practices
翻译:CMMC评估中标准化证据采样的必要性:基于评估人员实践调查的分析
Logan Therrien,John Hastings
Logan Therrien,John Hastings
from arxiv, 6 pages, 9 tables

The Cybersecurity Maturity Model Certification (CMMC) framework provides a common standard for protecting sensitive unclassified information in defense contracting. While CMMC defines assessment objectives and control requirements, limited formal guidance exists regarding evidence sampling, the process by which assessors select, review, and validate artifacts to substantiate compliance. Analyzing data collected through an anonymous survey of CMMC-certified assessors and lead assessors, this exploratory study investigates whether inconsistencies in evidence sampling practices exist within the CMMC assessment ecosystem and evaluates the need for a risk-informed standardized sampling methodology. Across 17 usable survey responses, results indicate that evidence sampling practices are predominantly driven by assessor judgment, perceived risk, and environmental complexity rather than formalized standards, with formal statistical sampling models rarely referenced. Participants frequently reported inconsistencies across assessments and expressed broad support for the development of standardized guidance, while generally opposing rigid percentage-based requirements. The findings support the conclusion that the absence of a uniform evidence sampling framework introduces variability that may affect assessment reliability and confidence in certification outcomes. Recommendations are provided to inform future CMMC assessment methodology development and further empirical research.


翻译:网络安全成熟度模型认证(CMMC)框架为国防承包领域的敏感非密信息保护提供了通用标准。尽管CMMC明确了评估目标与控制要求,但关于证据采样——即评估人员为验证合规性而选择、审查与确认工件的过程——仍缺乏正式指导规范。本研究通过对CMMC认证评估人员及首席评估人员的匿名调查数据进行分析,以探索性研究方法考察CMMC评估生态系统中是否存在证据采样实践的不一致现象,并评估建立风险导向标准化采样方法的必要性。在17份有效调查反馈中,结果显示证据采样实践主要受评估人员主观判断、感知风险和环境复杂性驱动,而非依据规范化标准,且正式统计抽样模型极少被采用。参与者普遍反映不同评估间存在不一致性,广泛支持制定标准化指导原则,同时普遍反对僵化的百分比要求。研究结果表明,缺乏统一的证据采样框架会引入差异性,可能影响评估可靠性及认证结果的可信度。本文提出的建议可为未来CMMC评估方法学发展及进一步实证研究提供参考。
0
下载
关闭预览

相关内容

【CMU博士论文】可靠轨迹预测的分层基石:数据、评估与方法
【CMU博士论文】可靠轨迹预测的分层基石:数据、评估与方法
专知会员服务
5+阅读 · 2月26日
【CMU博士论文】利用信息论工具进行基础模型分析
【CMU博士论文】利用信息论工具进行基础模型分析
专知会员服务
19+阅读 · 2025年8月31日
【国家标准】数据安全技术 数据安全风险评估方法
【国家标准】数据安全技术 数据安全风险评估方法
专知会员服务
23+阅读 · 2025年8月18日
国家标准《人工智能 预训练模型第3 部分服务能力成熟度评估》
国家标准《人工智能 预训练模型第3 部分服务能力成熟度评估》
专知会员服务
63+阅读 · 2024年6月16日
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
专知会员服务
29+阅读 · 2023年9月3日
强化学习如何可信可靠?CMU最新《可信赖强化学习》综述,36页pdf阐述可信强化学习的鲁棒性、安全性和泛化性
强化学习如何可信可靠?CMU最新《可信赖强化学习》综述,36页pdf阐述可信强化学习的鲁棒性、安全性和泛化性
专知会员服务
92+阅读 · 2022年9月25日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知会员服务
42+阅读 · 2022年9月9日
《数据标准管理实践白皮书》,20页pdf,中国信息通信研究院云计算与大数据研究所
《数据标准管理实践白皮书》,20页pdf,中国信息通信研究院云计算与大数据研究所
专知会员服务
51+阅读 · 2022年5月31日
最新!《智慧城市 成熟度评估模型》国家标准征求意见稿发布,45页pdf
最新!《智慧城市 成熟度评估模型》国家标准征求意见稿发布,45页pdf
专知会员服务
22+阅读 · 2022年3月22日
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
专知会员服务
74+阅读 · 2022年2月26日
《确保美国防御系统作战优势的必要美国防部射程能力:对未来战斗的测试》美国国家科学院151页报告
《确保美国防御系统作战优势的必要美国防部射程能力:对未来战斗的测试》美国国家科学院151页报告
专知
48+阅读 · 2022年11月12日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知
18+阅读 · 2022年9月9日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
《智能制造机器视觉在线检测测试方法》国家标准意见稿
《智能制造机器视觉在线检测测试方法》国家标准意见稿
专知
13+阅读 · 2022年2月22日
【WWW2020-新加坡国立大学】知识图谱强化负采样的推荐系统,Reinforced Negative Sampling
【WWW2020-新加坡国立大学】知识图谱强化负采样的推荐系统,Reinforced Negative Sampling
专知
22+阅读 · 2020年3月14日
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
专知
70+阅读 · 2019年5月14日
深度 | 推荐系统评估
深度 | 推荐系统评估
AI100
24+阅读 · 2019年3月16日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
大块板状样品中子核数据宏观基准检验研究
国家自然科学基金
0+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
考虑不确定性的结构动力学响应模型可信度确认方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
h型信息网络测度的机理与实证研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
流程监控与评估中多元数据整合研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于透明的医源性感染指标测量的基准研究
国家自然科学基金
0+阅读 · 2014年12月31日
具有可靠性增长的系统可靠性试验鉴定方法研究
国家自然科学基金
10+阅读 · 2013年12月31日
装备作战需求论证质量评估方法研究
国家自然科学基金
33+阅读 · 2012年12月31日
Human-Aligned MLLM Judges for Fine-Grained Image Editing Evaluation: A Benchmark, Framework, and Analysis
Arxiv
0+阅读 · 2月13日
MLLM-CTBench: A Benchmark for Continual Instruction Tuning with Reasoning Process Diagnosis
Arxiv
0+阅读 · 2月13日
ExtractBench: A Benchmark and Evaluation Methodology for Complex Structured Extraction
Arxiv
0+阅读 · 2月12日
HarmMetric Eval: Benchmarking Metrics and Judges for LLM Harmfulness Assessment
Arxiv
0+阅读 · 2月11日
Diffusion posterior sampling for simulation-based inference in tall data settings
Arxiv
0+阅读 · 2月11日
SCORE: Specificity, Context Utilization, Robustness, and Relevance for Reference-Free LLM Evaluation
Arxiv
0+阅读 · 2月10日
Estimating the Value of Evidence-Based Decision Making
Arxiv
0+阅读 · 2月9日
The CitizenQuery Benchmark: A Novel Dataset and Evaluation Pipeline for Measuring LLM Performance in Citizen Query Tasks
Arxiv
0+阅读 · 2月3日
ClaimDB: A Fact Verification Benchmark over Large Structured Data
Arxiv
0+阅读 · 1月21日
Balanced Accuracy: The Right Metric for Evaluating LLM Judges -- Explained through Youden's J statistic
Arxiv
0+阅读 · 1月19日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
分析
一致
成熟度
成熟度模型
系统
相关VIP内容
【CMU博士论文】可靠轨迹预测的分层基石:数据、评估与方法
【CMU博士论文】可靠轨迹预测的分层基石:数据、评估与方法
专知会员服务
5+阅读 · 2月26日
【CMU博士论文】利用信息论工具进行基础模型分析
【CMU博士论文】利用信息论工具进行基础模型分析
专知会员服务
19+阅读 · 2025年8月31日
【国家标准】数据安全技术 数据安全风险评估方法
【国家标准】数据安全技术 数据安全风险评估方法
专知会员服务
23+阅读 · 2025年8月18日
国家标准《人工智能 预训练模型第3 部分服务能力成熟度评估》
国家标准《人工智能 预训练模型第3 部分服务能力成熟度评估》
专知会员服务
63+阅读 · 2024年6月16日
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
重磅!国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)发布
专知会员服务
29+阅读 · 2023年9月3日
强化学习如何可信可靠?CMU最新《可信赖强化学习》综述,36页pdf阐述可信强化学习的鲁棒性、安全性和泛化性
强化学习如何可信可靠?CMU最新《可信赖强化学习》综述,36页pdf阐述可信强化学习的鲁棒性、安全性和泛化性
专知会员服务
92+阅读 · 2022年9月25日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知会员服务
42+阅读 · 2022年9月9日
《数据标准管理实践白皮书》,20页pdf,中国信息通信研究院云计算与大数据研究所
《数据标准管理实践白皮书》,20页pdf,中国信息通信研究院云计算与大数据研究所
专知会员服务
51+阅读 · 2022年5月31日
最新!《智慧城市 成熟度评估模型》国家标准征求意见稿发布,45页pdf
最新!《智慧城市 成熟度评估模型》国家标准征求意见稿发布,45页pdf
专知会员服务
22+阅读 · 2022年3月22日
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
《信息安全技术 机器学习算法安全评估规范》国家标准意见稿,33页pdf
专知会员服务
74+阅读 · 2022年2月26日
热门VIP内容
相关资讯
《确保美国防御系统作战优势的必要美国防部射程能力:对未来战斗的测试》美国国家科学院151页报告
《确保美国防御系统作战优势的必要美国防部射程能力:对未来战斗的测试》美国国家科学院151页报告
专知
48+阅读 · 2022年11月12日
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
国家标准《信息技术 大数据 数据资产价值评估》(征求意见稿)
专知
18+阅读 · 2022年9月9日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
《智能制造机器视觉在线检测测试方法》国家标准意见稿
《智能制造机器视觉在线检测测试方法》国家标准意见稿
专知
13+阅读 · 2022年2月22日
【WWW2020-新加坡国立大学】知识图谱强化负采样的推荐系统,Reinforced Negative Sampling
【WWW2020-新加坡国立大学】知识图谱强化负采样的推荐系统,Reinforced Negative Sampling
专知
22+阅读 · 2020年3月14日
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
密歇根大学40页《20年目标检测综述》最新论文,带你全面了解目标检测方法
专知
70+阅读 · 2019年5月14日
深度 | 推荐系统评估
深度 | 推荐系统评估
AI100
24+阅读 · 2019年3月16日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
相关论文
Human-Aligned MLLM Judges for Fine-Grained Image Editing Evaluation: A Benchmark, Framework, and Analysis
Arxiv
0+阅读 · 2月13日
MLLM-CTBench: A Benchmark for Continual Instruction Tuning with Reasoning Process Diagnosis
Arxiv
0+阅读 · 2月13日
ExtractBench: A Benchmark and Evaluation Methodology for Complex Structured Extraction
Arxiv
0+阅读 · 2月12日
HarmMetric Eval: Benchmarking Metrics and Judges for LLM Harmfulness Assessment
Arxiv
0+阅读 · 2月11日
Diffusion posterior sampling for simulation-based inference in tall data settings
Arxiv
0+阅读 · 2月11日
SCORE: Specificity, Context Utilization, Robustness, and Relevance for Reference-Free LLM Evaluation
Arxiv
0+阅读 · 2月10日
Estimating the Value of Evidence-Based Decision Making
Arxiv
0+阅读 · 2月9日
The CitizenQuery Benchmark: A Novel Dataset and Evaluation Pipeline for Measuring LLM Performance in Citizen Query Tasks
Arxiv
0+阅读 · 2月3日
ClaimDB: A Fact Verification Benchmark over Large Structured Data
Arxiv
0+阅读 · 1月21日
Balanced Accuracy: The Right Metric for Evaluating LLM Judges -- Explained through Youden's J statistic
Arxiv
0+阅读 · 1月19日
相关基金
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
大块板状样品中子核数据宏观基准检验研究
国家自然科学基金
0+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
考虑不确定性的结构动力学响应模型可信度确认方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
h型信息网络测度的机理与实证研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
流程监控与评估中多元数据整合研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于透明的医源性感染指标测量的基准研究
国家自然科学基金
0+阅读 · 2014年12月31日
具有可靠性增长的系统可靠性试验鉴定方法研究
国家自然科学基金
10+阅读 · 2013年12月31日
装备作战需求论证质量评估方法研究
国家自然科学基金
33+阅读 · 2012年12月31日
Top
微信扫码咨询专知VIP会员
Top