爱游戏ayx网

如果和美国国防部做生意,要知道什么

网络安全成熟模型认证和NIST SP 800-171国防部(国防部)评估解释。

由Resiliant 2021年8月24日
礼貌:Resiliant

在2020年9月29日,国防部,美国国防部(DoD)发布的临时规则修改DFARS实现国防部的评估方法和网络安全成熟度模型认证(CMMC)框架来评估承包商实施公开征求意见的网络安全需求。虽然网络安全的需求一直在NIST 800-171遵守了一段时间的形式国防采购过程的一部分,根据发行:

  • “来自国防部监察长报告的调查结果表明,国防部承包商没有始终如一地实施保护CUI的强制性系统安全要求,”
  • 目前合规性要求,“不提供美国国防部有足够的洞察力相对于国防工业基础(DIB)公司在整个任何给定的程序或技术开发工作的多层供应链网络安全态势,”和
  • 该“NIST SP 800-171每DFARS条款252.204-7012,不能充分应对其他威胁,包括高级持续性威胁(APT)”,因此,维和部需要“基于风险的网络安全架构的DIB部门,如CMMC,作为强制性标准国防部的基础。”

CMMC依从性的结果

While the DoD’s goal is to ultimately have all contracts comply to CMMC, the phased roll-out process, effectively starting in about 90 days, includes a two-pronged approach in the interim to ensure DIB’s ability to protect FCI and CUI (Controlled Unclassified Information). The timeline to implement CMMC across the DoD contractor population will be approximately seven years. The interim two-pronged approach includes:

1.CMMC:

强制CMMC遵守这些合同将要求承包商有一个适当的认证,在奖励的时间。因此,谁见过在RFI CMMC要求承包商/ RFP现在应该开始对CMMC要求差距评估过程中,修复的空白,并演示过程成熟度,以获得认证。他们还应该确保他们的供应链也兼容。

礼貌:Resiliant

礼貌:Resiliant

2. NIST SP 800 - 171美国国防部评估方法:

不需要CMMC的合同将要求承包商遵守NIST SP 800-171国防部评估级别之一(基本、中等、高),基于信息的临界性。这些承包商将被要求将其评估分数、评估日期、所需补救措施描述和预计完成日期以及各自的CAGE编号上传到供应商风险管理系统(SPRS)。要求进行基本水平评估的承包商可以自行进行评估,并将所需信息上传到SPRS上,而其他承包商则必须用证据和文件支持政府进行的评估。

礼貌:Resiliant

礼貌:Resiliant

从本质上说,国防部正在加强对DIB内网络安全风险管理的努力。除了需要基本水平评估的组织外,所有其他组织都将有某种程度的外部审计。在网络安全风险管理工作中,确保信息的完整性、严谨性、一致性和成本生产率符合所有组织的最大利益。他们应该尽早开始为CMMC而努力;这不仅会使向CMMC的过渡更加顺利,而且还会提高企业风险管理的成本效益。

这个故事最初出现在Resiliant的网站Resiliant是CFE Media的内容合作伙伴。


Resiliant