马来西亚SIRIM（MCMC）更新认证要求

2019 年 5 月 14 日生效

马来西亚标准与工业研究院（SIRIM）发布了通信、多媒体和混合设备合规批准的法规和认证要求。

以下认证要求经过重新评估和更新后实施。

提交样品的方法

方案 1：提交整套样品

方案 2：要求对整套样品进行现场检查

方案 3：申请人可根据 SIRIM 要求提交样品照片

接受测试报告

自发布之日起五年或五年以上的测试报告，如果符合所有 SIRIM 标准，可提交认证。可能需要进行初步评估，以确保接受五年以上的测试报告。

样品进口文件

如果样品没有任何进口文件，申请人应提交一份正式签署的声明书，其中包含以下详细信息：

a) 申请人详细信息

b) 产品详情

c) 发货人详细信息

d) 收货人详细信息

e) 运输方式（如快递、邮寄、海运/铁路/公路/空运等手提方式）

f) 原产国/原产地

马来西亚无线电技术产品的市场审批由马来西亚标准与工业研究院（SIRIM）签发。该私营实体由马来西亚通信与多媒体委员会（MCMC）任命，没有 SIRIM 的批准，任何产品都不能在马来西亚销售。

从根本上说，SIRIM 批准是一种国家认证制度，有自己的规范，但部分规范是基于欧洲无线电设备指令 (RED)。因此，SIRIM 接受 MCMC 认可的基于 RED 规范的测试报告和证书。在不接受欧盟测试报告的情况下，必须进行当地现场测试。此外，还需要当地代表的参与才能完成认证程序。 总之，制造商必须适应 12 至 14 周的审批期。

成功获得 SIRIM 认证（有效期为五年）后，制造商必须在产品上使用相应的认证标签。标签由 MCMC 标志和 SIRIM 的唯一标识号组成，标识号由四个字母和八位数字组成： ABCD12345678。

作为 CETECOM，我们为客户提供广泛的 SIRIM 认证测试服务，并协调所有必要的现场测试以及与马来西亚当地联系人的沟通，这是我们认证服务的一部分。

在我们的网站上，您可以找到更多有关我们全面测试和认证服务的信息。您还可以在我们的认证数据库 CETECOM CERT 中找到有关 SIRIM 认证规格和相关 MCMC 认证标签以及许多其他认证制度的更多信息。

CMMC 认证级别

本页旨在快速介绍每个级别的内容。有关详细信息，请参阅 CMMC 官方计划。

如果您想知道贵公司需要符合 CMMC 五个认证级别中的哪个级别： 合同信息中会注明 CMMC 的认证级别。大多数合同都要求 1 级或 3 级认证。

一般来说

如果贵公司根据合同将只接收联邦合同信息 (FCI)，则需要 CMMC 1 级实施和认证。

但是，如果贵组织还将接收受控非机密信息 (CUI)，则至少需要 CMMC 3 级认证。

概述

所有高于 1 级的 CMMC 认证级别都包括两个衡量标准：流程和实践。流程是指为 CMMC 涵盖的 17 个领域中的每个领域制定政策和计划。与此相反，实践是指访问控制和配置管理等控制措施的实际实施。

CMMC 认证级别和要求 - 初步

CMMC 1 级：

CMMC 1 级是基本认证级别，包括与《联邦采购条例》（FAR）第 52.204-21 条中基本保障要求相对应的实践。这一最低级别包括 17 项基本网络安全实践，如实施身份和认证以及基本访问控制。第 1 级主要是保护联邦合同信息 (FCI)，对于获得国防部合同但不生产纯商业现货产品的任何人都是必需的。绝大多数国防部合同都需要这一级别的认证。

第 2 级：

第 2 级的目的似乎是为任何拥有受控非机密信息 (CUI) 的组织创建一个基本的网络安全级别，因此需要比仅拥有 FCI 的组织更高的安全级别。CMMC 2 级认证将要求为 CMMC 所涵盖的 17 个领域中的每个领域制定书面政策，并为每个领域制定实施政策的文档实践。这也将是一套更广泛的安全实践，是 NIST SP 800-171 中列出的安全要求的子集，除了第一级中列出的实践外，还需要实施总共 55 项额外的实践。

我们认为本级别是为三级别做准备的过渡性步骤，而三级别对大多数组织来说都没有商业意义，因为它还不允许处理 CUI。

CMMC 3 级：

CMMC 3 级的重点是保护 CUI，充实 1 级和 2 级中建立的基本安全实践，并提高组织的整体安全性。CMMC 3 级认证将要求组织建立、维护和资源计划，以展示实施 CMMC 的活动管理。这些实践包括 NIST SP 800-171 中的所有安全要求以及其他实践和标准，在二级实施要求的基础上新增了 58 项实践。

如果贵组织同时处理 FCI 和 CUI，则必须满足 CMMC 3 级或更高要求。这就是为什么我们预计这将是所有 CMMC 认证级别中第二大（如果不是最常见的话）的成熟度要求。我们的绝大多数客户都必须满足 CMMC 3 级要求。

CMMC 3 级比 1 级和 2 级高出很多，这对时间和成本都有影响。有关 CMMC 实施流程的概述以及 CMMC 3 级实施的时间估计，请参见此处。

CMMC 4 级：

如果组织需要获得第 4 级认证，则主要重点将转移到提高组织保护 CUI 免受高级持续性威胁 (APT) 的有效性。虽然它不像第 2 级和第 3 级那样有那么多的新实践需要实施，但所列出的实践在实施和维护方面要复杂得多，也耗时得多。CMMC 第 4 级将要求组织审查和衡量实践的有效性，并实施 DRAFT NIST SP 800-171B 中的增强型安全实践子集和其他安全最佳实践，在第 3 级所要求的实践基础上再增加 26 项实践。

Ecuron 预计，只有不到 100 家公司需要达到 CMMC 4 级标准。

第 5 级：

CMMC 第 5 级将要求企业在整个组织内标准化和优化流程实施。该级别再次侧重于保护 CUI 不受 APT 的攻击，因此会为组织实施许多更先进的安全实践。新增的实践将提高组织网络安全能力的深度和复杂性，并在 CMMC 4 级的基础上增加 15 项实践。

至于第 4 级，我们预计只有不到 100 家组织属于这一类别。

本文标签： # mcmc认证