? ? ? ?經過數年的行業辯論,關于合規成本、審計監督和供應鏈責任等問題,新的網絡安全認證標準終于于本周一生效。這些新規定針對國防承包商及其子承包商,要求他們符合新的網絡安全成熟度模型認證(CMMC)要求。? ? ? ?這一新的CMMC規則對聯邦國防采購法規進行了修訂,要求所有新合同、選項年及延期合同都必須遵守CMMC要求。此外,主要承包商還需確保其子承包商達到相應的認證水平。該規則的逐步實施將從第一級別的強制執行開始,并將擴展至2028年,期間若有需要,項目辦公室可提前執行更高等級的要求。? ? ? ?專家告訴《信息安全媒體集團》,這一規則正式確立了業內期待已久的義務,并澄清了有關如何對現有合同及續約合同實施強制執行的問題。CMMC項目的一個早期重要模糊點已得到解決,Cyber AB C3PAO認證委員會主席、Redspin的CISO托馬斯·格雷厄姆(Thomas Graham)表示,該委員會負責為國防部(DOD)提供CMMC認證。格雷厄姆表示:“在規則最終確定之前,最大的不明確點之一(如果可以這么說的話)是,這些要求將適用于現有合同的選項年和履約期延長部分。”他還建議,準備合規的承包商應首先更新其供應商績效風險系統(SPRS)得分,并與合同官員溝通,確定即將簽訂的合同所需的CMMC級別以及相應的時間安排。格雷厄姆強調:“信任是CMMC的基礎。雖然該計劃增強了國防部對承包商的信心,但它也標志著我們共同致力于加強國家網絡防御的承諾。”? ? ? ?從計劃的第一年開始,國防部將要求承包商在獲得所有新合同及某些行使選項的前提下完成自我評估。處理更敏感數據的公司將從第二年開始,需通過經認證的第三方評估機構進行認證,而到第三年,隨著招標的開始,要求將進一步擴展,屆時將要求國防工業基地網絡安全評估中心進行驗證。五角大樓早在2019年就提出了建立統一網絡安全標準的計劃,旨在為低于機密級別的各類信息提供規范,以應對其數十萬承包商在數據保護方面存在的不平衡問題。該計劃旨在填補國防供應商在跨越30萬多個供應商的供應鏈中管理網絡風險的長期空白。(參見:五角大樓發布期待已久的承包商網絡安全規定)? ? ? ?這一最終規則建立在多年的修訂基礎上,將模型從單一的大范圍要求轉變為與國家標準與技術研究所(NIST)指南對接的分級框架。更新后的結構根據承包商處理信息的敏感程度設定了不同的嚴格程度,從基本的網絡安全衛生措施到高級、持續監控的保護措施不等。
粵公網安備 44010402002568號