经过数年的行业辩论,关于合规成本、审计监督和供应链责任等问题,新的网络安全认证标准终于于本周一生效。这些新规定针对国防承包商及其子承包商,要求他们符合新的网络安全成熟度模型认证(CMMC)要求。
这一新的CMMC规则对联邦国防采购法规进行了修订,要求所有新合同、选项年及延期合同都必须遵守CMMC要求。此外,主要承包商还需确保其子承包商达到相应的认证水平。该规则的逐步实施将从第一级别的强制执行开始,并将扩展至2028年,期间若有需要,项目办公室可提前执行更高等级的要求。
专家告诉《信息安全媒体集团》,这一规则正式确立了业内期待已久的义务,并澄清了有关如何对现有合同及续约合同实施强制执行的问题。CMMC项目的一个早期重要模糊点已得到解决,Cyber AB C3PAO认证委员会主席、Redspin的CISO托马斯·格雷厄姆(Thomas Graham)表示,该委员会负责为国防部(DOD)提供CMMC认证。
格雷厄姆表示:“在规则最终确定之前,最大的不明确点之一(如果可以这么说的话)是,这些要求将适用于现有合同的选项年和履约期延长部分。”他还建议,准备合规的承包商应首先更新其供应商绩效风险系统(SPRS)得分,并与合同官员沟通,确定即将签订的合同所需的CMMC级别以及相应的时间安排。
格雷厄姆强调:“信任是CMMC的基础。虽然该计划增强了国防部对承包商的信心,但它也标志着我们共同致力于加强国家网络防御的承诺。”
从计划的第一年开始,国防部将要求承包商在获得所有新合同及某些行使选项的前提下完成自我评估。处理更敏感数据的公司将从第二年开始,需通过经认证的第三方评估机构进行认证,而到第三年,随着招标的开始,要求将进一步扩展,届时将要求国防工业基地网络安全评估中心进行验证。
五角大楼早在2019年就提出了建立统一网络安全标准的计划,旨在为低于机密级别的各类信息提供规范,以应对其数十万承包商在数据保护方面存在的不平衡问题。该计划旨在填补国防供应商在跨越30万多个供应商的供应链中管理网络风险的长期空白。(参见:五角大楼发布期待已久的承包商网络安全规定)
这一最终规则建立在多年的修订基础上,将模型从单一的大范围要求转变为与国家标准与技术研究所(NIST)指南对接的分级框架。更新后的结构根据承包商处理信息的敏感程度设定了不同的严格程度,从基本的网络安全卫生措施到高级、持续监控的保护措施不等。
发表评论
您还未登录,请先登录。
登录