I sistemi informativi devono essere protetti da accesso, uso, divulgazione, intercettazione o distruzione non autorizzati. La sicurezza di questi sistemi è essenziale per la riservatezza, l'integrità e la disponibilità delle informazioni elaborate e conservate al loro interno. Gli utenti delle tecnologie dell'informazione (IT) che hanno accesso alle Controlled Unclassified Information (CUI) devono garantire che tutte le CUI siano salvaguardate in base a leggi, regolamenti e politiche. Il Cybersecurity Maturity Model Certification (CMMC) è un framework che guida l'implementazione di controlli e pratiche di sicurezza attraverso cinque livelli di maturità. L'obiettivo del CMMC è quello di ridurre i rischi informatici per le CUI all'interno della catena di fornitura del Dipartimento della Difesa (DoD). Le organizzazioni che desiderano fare affari con il Dipartimento della Difesa dovranno essere certificate a uno dei cinque livelli CMMC, a seconda delle CUI a cui avranno accesso. Il Piano di sicurezza del sistema CMMC (SSP) è un componente obbligatorio del processo di certificazione CMMC. L'SSP è un documento vivo che descrive la posizione di sicurezza di un'organizzazione e descrive in dettaglio i controlli e le pratiche di sicurezza in