HQ관제실 총괄
들어온 요청을 정리해서 어떤 데스크가 맡을지 나누고, 정책 게이트랑 출처 점검을 거치게 한 다음 결과를 한 패킷으로 모아요. 검토가 필요한 부분은 막고 사람한테 넘겨요.
← Marketplace
CMMC Readiness Control Room
by Amara Novak
방산 계약 따려는데 CMMC 인증 준비가 막막할 때 쓰세요. 가린 계약서랑 보안 메모만 던지면, 우리 계약이 CMMC 대상인지 레벨이 몇인지부터 가려내고, FCI랑 CUI가 어디까지 흘러가는지 경계를 그려요. NIST SP 800-171 통제별로 증거실을 채우고, 빠진 증거랑 담당자를 목록으로 뽑고, SPRS 점수랑 확약(affirmation) 제출 전 체크리스트까지 만들어 줘요. 실제 제출이나 통제 실행은 절대 안 건드리고, 담당자가 검토하라고 넘겨요.
The team
One lead + 11 specialists
관제실 총괄프로젝트 총괄·대화 담당 (PM Soul)기억 담당 (Memory Curator)기준·검증 담당 (Policy Gate)최종 품질 검수 담당 (Eval·QA)범위 분류 데스크FCI/CUI 경계 데스크평가 증거 데스크SPRS·POA&M·확약 데스크하청 flowdown 데스크SSP 갭 기획 데스크공식 출처 변경 감시 데스크
The members
Who does what
1프로젝트 총괄·대화 담당 (PM Soul)
이번 준비가 무엇을 목표로 하는지, 아직 안 끝난 일이 뭔지, 어디까지 합의했는지 가린 형태로 계속 챙겨요.
Produces · 작업 목표와 미해결 항목 정리, 합의 기준 메모
2기억 담당 (Memory Curator)
기억에 남길 후보를 가렸는지, 근거가 있는지, 현행 출처가 오래됐는지 확인하고 나서 저장해요.
Produces · 가린 기억 후보 검토, 출처 신선도 라벨
3기준·검증 담당 (Policy Gate)
법률 자문, 평가자 사칭, SPRS 제출, 확약, 통제 실행, 점수 조작, 자격증명이나 원본 CUI/FCI 노출을 막아요.
Produces · 차단 사유 목록, 안전 경계 점검
4최종 품질 검수 담당 (Eval·QA)
출처 추적이 되는지, 라우팅이 맞는지, 데이터가 제대로 가려졌는지, 검토 막힘이 없는지 마지막으로 봐요.
Produces · 출처 추적 점검 결과, 검토 막힘 목록
5범위 분류 데스크
우리 계약이 CMMC 대상인지, 레벨 1/2/3 중 어디인지 가려내고, 솔리시테이션 맥락이랑 대상 시스템, 외부 서비스 제공자, 검토 담당자를 정리해요.
Produces · CMMC 대상 여부 판정, 레벨 1/2/3 경로 분류표, 시스템·외부 제공자 목록
6FCI/CUI 경계 데스크
FCI랑 CUI가 어디서 만들어지고 어디로 흘러가는지 경계를 그리고, 시스템 구성요소랑 특수자산, 가려야 할 항목을 표시해요.
Produces · FCI/CUI 경계 지도, 데이터 흐름과 자산 분류, 가림 요구 목록
7평가 증거 데스크
NIST SP 800-171 통제별로 증거실을 채우고, 평가 항목까지 추적되게 연결하고, 담당자랑 빠진 증거 큐를 만들어요.
Produces · 통제별 증거 등록부, 평가 항목 추적표, 빠진 증거 큐와 담당자
8SPRS·POA&M·확약 데스크
SPRS UID랑 점수, 확약, POA&M, 마감 준비 체크리스트를 만들어요. 제출이나 확약은 직접 안 해요.
Produces · SPRS UID·점수 준비표, 확약 준비 체크리스트, POA&M 마감 항목
9하청 flowdown 데스크
공급사 범위랑 flowdown 요구사항, 외부 서비스 제공자 증거, 하청 검토 패킷을 정리해요.
Produces · 공급사 범위와 flowdown 점검표, 외부 제공자 증거 현황, 하청 검토 패킷
10SSP 갭 기획 데스크
가린 SSP랑 통제 메모를 받아서 갭 등록부, 보완 담당자 지도, 평가 준비 패킷으로 바꿔요.
Produces · SSP 갭 등록부, 보완 담당자 지도, 평가 준비 패킷
11공식 출처 변경 감시 데스크
DoD, eCFR, 연방관보, DFARS, NIST 출처가 바뀌었는지 추적하고, 오래된 가정에는 점검 필요 표시를 붙여요.
Produces · 출처 변경 추적 메모, 오래된 가정 점검 표시
How they work
How work flows
총괄 접수범위 분류가린 계약·보안 메모와 검토 담당자 맥락
범위 분류경계 지도CMMC 대상 여부, 레벨 경로, 대상 시스템
경계 지도증거실 구축FCI/CUI 경계와 자산 분류
증거실 구축갭·제출 준비통제별 증거와 빠진 항목
갭·제출 준비최종 검토SPRS 준비표, 확약 체크리스트, 하청 패킷
최종 검토담당자 승인사람이 검토할 지점이 표시된 패킷
Best for
What it's good for
방산 공급망에 들어가려고 CMMC 인증을 처음 준비하는 중소 계약업체
흩어진 SSP, POA&M, 통제 증거를 평가 받을 수 있게 한 곳에 정리하려는 보안 담당자
하청 업체 flowdown이랑 공급사 증거 현황을 한눈에 챙겨야 하는 계약 관리자
What's inside
What's in this agent
13 agents2 memory1 command
Outputs
What it produces
CMMC 대상 여부랑 레벨 1/2/3 경로를 정리한 범위 분류표
FCI/CUI 경계 지도와 자산 분류 (특수자산, 보안보호자산, 범위 밖 자산 구분)
NIST SP 800-171 통제별 증거실과 빠진 증거 큐, 담당자 목록
SPRS UID, 점수, 확약, POA&M 마감 준비 체크리스트
하청 flowdown 점검표와 공급사 증거 검토 패킷
담당자가 승인해야 할 지점을 표시한 검토 패킷
Prerequisites
Before you start
민감 정보를 가린 계약서, 솔리시테이션, DFARS 조항, FCI/CUI 취급 메모
가린 SSP, POA&M, 통제 증거, 자산 목록, 공급사 매트릭스 (자격증명이나 원본 CUI는 빼고)
보안, 법무, 계약 검토를 맡을 담당자가 누구인지
Safety
What it can touch
Where a human approves
보안 담당자 검토
법무·계약 검토
CUI/FCI 가림 검토
공식 출처로 현행 규정 확인
Cost guardrails
기본은 준비 패킷에서 멈추고 제출은 안 함
원본 CUI/FCI나 자격증명은 메모리에 저장 안 함
Access
Files: scoped
Network: none
External API: yes
Be careful with
SPRS 제출, 평가 확약, 통제 실행, 인증 보장은 안 해요. 준비만 하고 사람이 결정해요
현행 규정 주장은 공식 출처로 확인하기 전까지 점검 필요로 표시돼요
자격증명, 원본 CUI/FCI, 취약점 내보내기, 민감 시스템 도면은 넣지 마세요
Safety
Inspect everything before it runs
A security scan runs before publish or install, and Agentlas never hosts or proxies models — it runs on your own account and keys.