Khung mô hình CMMC phân các quy trình và thực tiễn tốt nhất về an ninh mạng thành một tập hợp các miền. Thực tiễn là các hoạt động được thực hiện ở mỗi cấp cho miền bao gồm: Kiểm soát truy cập (AC); Quản lý tài sản (AM); Nhận thức và đào tạo (AT); Kiểm toán và trách nhiệm (AU); Quản lý cấu hình (CM); Nhận dạng và xác thực (IA); Ứng phó sự cố (IR); Bảo trì (MA); Bảo vệ phương tiện (MP); An ninh nhân sự (PS); Tính toàn vẹn của hệ thống và thông tin (SI); Bảo vệ hệ thống và truyền thông (SC); Nhận thức tình huống (SA); Đánh giá an ninh (CA); Bảo vệ vật lý (PE); Quản lý rủi ro (RM) và Phục hồi (RE).

Bốn mức trưởng thành của quy trình an ninh

Cấp 1. Thực hiện: Một số thực hành được ghi lại khi cần thiết.

Cấp 2. Tài liệu hóa: Mỗi thực hành đều được ghi lại, bao gồm các thực hành Cấp 1 và một chính sách bao gồm tất cả các hoạt động.

Cấp 3. Được quản lý:

- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;

- Có một chính sách bao gồm tất cả các hoạt động;

- Có một kế hoạch và kế hoạch này được duy trì, được cung cấp nguồn lực, bao gồm tất cả các hoạt động.

Cấp 4. Được rà soát:

- Mỗi thực hành đều được ghi lại, bao gồm cả các cấp thấp hơn;

- Có một chính sách bao gồm tất cả các hoạt động;

- Có một kế hoạch bao gồm tất cả các hoạt động;

- Các hoạt động được xem xét và đo lường hiệu quả (kết quả đánh giá được chia sẻ với quản lý cấp cao hơn).

Cấp 5. Tối ưu hóa:

- Mỗi thực hành đều được ghi lại, bao gồm các cấp thấp hơn;

- Có một chính sách bao gồm tất cả các hoạt động;

- Có một kế hoạch bao gồm tất cả các hoạt động;

- Các hoạt động được xem xét và đo lường hiệu quả;

- Có một cách tiếp cận được chuẩn hóa, được tài liệu hóa trên tất cả các đơn vị tổ chức có thể áp dụng.

Các thực hành ở từng mức độ trưởng thành

Cấp 1. Làm sạch không gian mạng cơ bản (17 thực hành)

- Tương đương với tất cả các thông lệ trong Quy định mua sắm liên bang (FAR) 48 CFR 52.204-21.

Cấp 2. Làm sạch không gian mạng trung cấp (72 thực hành)

- Tuân thủ FAR;

- Bao gồm một tập hợp con gồm 48 thực hành từ NIST SP 800- 171 r1;

- Bao gồm 7 thực hành bổ sung để hỗ trợ làm sạch không gian mạng trung cấp.

Cấp 3. Làm sạch không gian mạng tốt (130 thực hành)

- Tuân thủ FAR;

- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;

- Bao gồm 20 thực hành bổ sung để hỗ trợ làm sạch không gian mạng tốt

Cấp 4. Làm sạch không gian mạng mức chủ động (156 thực hành)

- Tuân thủ FAR;

- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;

- Bao gồm một tập hợp con gồm 11 thực hành từ Dự thảo NIST SP 800-171B;

- Bao gồm 15 thực tiễn bổ sung để thể hiện chương trình an ninh mạng chủ động.

Cấp 5. Cao cấp/Tiến bộ (171 thực hành)

- Tuân thủ FAR;

- Bao gồm tất cả các thực hành từ NIST SP 800-171 r1;

- Bao gồm một tập hợp con gồm 4 thực hành từ Dự thảo NIST SP 800-171B;

- Bao gồm 11 thực tiễn bổ sung để chứng minh chương trình an ninh mạng tiên tiến.

Mô hình CMMC tận dụng nhiều nguồn và tài liệu tham khảo, bao gồm: CMMC Cấp 1 chỉ đề cập tới các thông lệ từ FAR 52.204-21; CMMC Cấp 3 bao gồm tất cả các thông lệ từ NIST SP 800-171r1 cũng như các loại khác; CMMC Cấp 4 và 5 kết hợp một tập hợp con của các thực tiễn từ Dự thảo NIST SP 800-171B cùng với các nguồn khác.

Các nguồn bổ sung, chẳng hạn như Mô hình trưởng thành an ninh mạng thiết yếu của Vương quốc Anh (UK Cyber Essentials) và Tám mô hình trưởng thành thiết yếu của Trung tâm an ninh mạng Úc (Australia Cyber Security Centre Essential Eight Maturity Model) cũng được xem xét và tham chiếu trong mô hình.

Ellen Lord, Thứ trưởng Bộ Quốc phòng Hoa Kỳ cho biết, đây là một triển khai phức tạp và là nền tảng quan trọng trong nỗ lực bảo đảm an ninh mạng nói chung của của Bộ Quốc phòng Hoa Kỳ. Bà cũng lưu ý rằng, các thế lực thù địch đều biết trong môi trường cạnh tranh quyền lực lớn hiện nay, thông tin và công nghệ là nền tảng chính của an ninh quốc gia và tấn công nhà cung cấp phụ sẽ dễ dàng hơn nhiều so với đối tượng chính.