亚虎娱乐注册平台-亚虎娱乐注册平台APP

亚虎娱乐注册平台-亚虎娱乐注册平台APP

的见解

美国国防部创建网络安全认证计划

作者:德里克·凯尔,助理
日期:07/17/2020

为了更好地管理国防工业基地遵守《亚虎娱乐注册平台》(“DFARS”)下的网络安全义务, 美国国防部(“DoD”)正在制定一项新计划,要求国防承包商和分包商获得符合网络安全要求的认证,才有资格投标和接受政府合同.

新的认证项目被称为网络安全成熟度模型认证(“CMMC”)。, 哪些将包含多个网络安全成熟度级别. 国防部的目的是将CMMC合并到dars中,并将其作为合同授予的要求. 重要的是, CMMC不会取代dfars252中较老的国防承包商网络安全要求.204-7012, “保障涵盖的国防信息和网络事件报告,和美国国家标准与技术协会特别出版物800-171(“NIST SP 800-171”),但为认证创建了一个框架,而不是目前使用的自我报告模式.

2016年10月21日,美国国防部发布了一份报告 最后的规则 要求政府承包商实施符合NIST SP 800-171的网络安全控制. 从那时起, 国防工业已经在匆忙实施该规定要求的网络安全措施, 在12月31日生效, 2017.

即使有严格的遵守期限, 许多承包商和分包商并没有完全服从,而是维持了一个行动计划, 这仅仅说明了他们需要完成的行动,以符合NIST SP 800-171的实施要求. 为了解决这一问题,全面审计并确认是否符合政府的网络安全要求, 国防部建立了一个网络安全认证计划, 是什么导致了CMMC框架的创建.

美国国防部于2020年1月30日发布CMMC型号1 说明简报.[1] CMMC包含五个成熟度级别,并考虑到不同的合同最终将要求遵守不同的成熟度级别(公司必须满足的实际级别将取决于他们的合同条款).

CMMC包含了跨越17个不同能力域的43个“能力”,, CMMC框架将171个网络安全最佳实践组织到这些能力域, 包括访问控制, 事件响应, 意识 & 训练,康复,还有其他13项.

The CMMC framework also encompasses five processes of increasing maturity; each level requires a different number of best practice procedures to be enacted. “过程成熟度”描述了活动嵌入组织操作的程度.

这五个过程如下:

  1. 每个网络安全实践都有文件记录.
  2. 存在一个涵盖所有活动的策略. 
  3. 存在包含所有活动的计划.
  4. 对活动进行评审并衡量其有效性.
  5. 在所有适用的组织单元中都存在一种标准化的、文档化的方法.

例如, CMMC第1级代表“基本网络安全卫生”,须符合17项经点算的守则. 在第1级没有成熟度过程的评估(组织执行基本的实践,但是没有为这五个过程的制度化开发需求). 达到一级要求是获得任何类型的CMMC认证的先决条件. 下表概述了各种级别和需求:

 

水平

 级描述

过程成熟度的描述

所需的过程

No. 实践(总)

1

基本网络卫生

“执行”

0

17

2

中间网络卫生

“记录”

1 & 2

72

3

良好的网络卫生

“管理”

1-3

130

4

积极主动的

“审查”

1-4

156

5

先进/进步

“优化”

1-5

171

 

CMMC 3级(“良好的网络卫生”)包括遵守NIST SP 800-171 Rev的所有实践. 1,以及另外20种促进良好网络卫生的做法. 级别3的公司还必须证明该级别所需的所有130个实践的文档, 以及涵盖所有实践的计划和政策的存在. CMMC框架将前三个过程的实现描述为“被管理的”过程成熟度. 类似的, 等级5成熟度代表“先进/进步”的网络安全,要求遵守171个实践和所有成熟度流程的实施.

国防部实施CMMC计划需要对第三方审核员进行培训和认证, 称为CMMC第三方评估组织(“C3PAOs”). 独立的、非营利性的CMMC认证机构. (“CMMC-AB”)将培训和认证C3PAOs和个人评估员,并建立了一个 网站 与申请和认证信息.

国防部和CMMC-AB于3月23日签署了一份谅解备忘录, 2020, 提供关于CMMC实施和各方责任的额外细节.[2] 国防部单独声明,CMMC评估的费用将根据评估的成熟度级别而有所不同, 承包商网络的复杂性, 以及其他市场力量和因素. CMMC证书一般有效期为三年.

国防部计划在滚动基础上实施CMMC计划到2025年, 但COVID-19大流行已经影响了国防部的时间表. 国防部此前表示,计划在2020年9月底前推出第一轮CMMC要求的提案请求(rfp). 然而, 凯蒂·阿灵顿, 国防部负责采购和维护的副部长办公室的首席信息安全官, 在5月份的一次网络研讨会上表示,第一个使用CMMC语言的rfp预计将于2020年11月发布.

新的CMMC框架并不构成国防部对国防承包商期望的急剧转变, 但它创造了一种机制来证明遵守网络安全义务. 全面实施CMMC模式将需要数年时间, 培训和认证CMMC审核员的过程才刚刚开始. 但是国防工业基地的承包商和国防承包商现在应该准备好满足即将到来的认证要求. 如果您对CMMC模型或本文中讨论的任何其他问题有任何疑问, 请随时联系托雷斯律师.

 

[1] 网络安全成熟度模型认证(CMMC):版本1.国防部副部长办公室(2020年1月30日), 可以在 http://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf.

[2] 国防部之间的谅解备忘录, 国防部副部长办公室负责采购和维持以及网络安全成熟度模型认证认可机构, 公司. (3月. 23, 2020), 可以在 http://assets.documentcloud.org/documents/6935675/CMO001673-20-CMMC-AB-MOU-Fully-Executed-20200323.pdf.

类别

联系

一般性的问题或意见?