CMMC değerlendirmesi öncesi hangi belgeler ve kanıtlar hazır olmalı?
Bu aşamada ekipler genelde "bize politika lazım" diye düşünür. Oysa değerlendirme öncesi asıl hız kazandıran şey, inceleme sırasında savunulabilir bir belge ve kanıt paketi oluşturmaktır.
1. Sistem sınırı net ve yazılı olmalı
Hangi kullanıcılar, sistemler, veri akışları ve üçüncü parti servisler kapsamda? Bu soruya net cevap vermeyen ekipler, değerlendirme günü geldiğinde hem gereksiz savunma yapar hem de gerçek boşlukları saklar.
2. SSP yaşayan bir teknik doküman gibi durmalı
SSP sadece kontrol cümleleri listesi olmamalı. Mimari, erişim modeli, log akışı ve operasyonel sorumlulukları teknik gerçekle aynı yerde buluşturmalı. Kopya şablon kokan SSP, güven vermez.
3. Asset, kullanıcı ve erişim kanıtı hazır olmalı
Envanter, kimlik yönetimi, MFA kullanımı, ayrıcalıklı erişim ve hesap yaşam döngüsü tarafında örneklenebilir kanıt yoksa dokümanlar havada kalır. İncelemede söz değil örnek istenir.
4. Logging ve incident tarafında gösterilebilir akış olmalı
Log topluyoruz demek yetmez. Hangi olay nereye düşüyor, kim bakıyor, incident olduğunda hangi süreç devreye giriyor? Bu hikâye hem belge hem de örnek kanıtla desteklenebilmelidir.
5. Düzeltme iş listesi ve POA&M dili birbiriyle konuşmalı
Eksikler listesi ile gerçek iş planı aynı şeyi söylemiyorsa ekip güven kaybeder. Hangi bulgunun hangi sorumluda, hangi tarihte ve hangi teknik adımla kapanacağı açık olmalıdır.
6. Son prova: belge paketi ile teknik ekranlar aynı hikâyeyi anlatmalı
Değerlendirme öncesi en kritik prova budur. SSP, envanter, erişim ekranı, log örneği ve düzeltme planı yan yana geldiğinde kopukluk görünüyorsa, o kopukluk incelemede daha sert görünür.
Hızlı çıkarım
Hazırlık için gereken şey daha çok doküman değil; kapsamı net, kanıtı izlenebilir ve teknik karşılığı güçlü bir değerlendirme paketi. Bu paketi son hafta toplamak genelde pahalıya patlar.