国防部启动网络安全新纪元：1500家承包商将接受CMMC认证

hwyzw

    负责采购和维持的人员表示：“国防部迎来了新的一天。就如同我们多年来一直强调的，网络安全是并购的基础，并且我们对此是认真的。”

    Katie 提及了即将施行的网络安全成熟度模型认证。实际上，随着新一代的网络安全成熟度模型认证（CMMC）所批准的 15 份合同的截止日期逐渐临近，五角大楼方面清晰地表明，这只是一个开端，未来至少要对 1500 家承包商以及分包商进行网络安全成熟度认证。

    “信任（承包商），但也要验证。”

    相关规则在今年 12 月 1 日起对新合同正式生效。原因是对手会试图攻击商业和军事网络以窃取机密，这些对手针对美国安全薄弱点。国防部接下来将强制推行新的网络安全合同规则，此规则能确保整个员工队伍建立能力基准，并且严格遵守美国家标准技术研究所（NIST）与国防部相关标准。Katie 认为这一举措对美国商业很重要，同时对国家安全也很重要。

   

    她和团队后续将继续推进，会在数天内完成过渡，直至临时规则生效。临时规则一旦制定，就会密切筹备 15 份作为试点的合同。这 15 份合同将开始向承包商之间新的、可核查的网络安全进行转变。预计至少有 1500 个承包商和分包商参与项目，并且全部都需要获得网络安全认证。

    这些合同会分布在各个服务部门，例如美国运输司令部以及网络司令部等。同时，这些合同还涉及导弹防御局等所谓的“第四等级”机构。合同的数额不一样，其复杂程度也有所差异。认证工作计划在 2021 财年内开展。

    值得注意的是，一家企业只要能符合部分 110 NIST 标准条款，并且宣称会致力于遵守其余条款，就可以参与竞标。简单来说，在竞争国防部合同时，无需完全证明全部的合规性。

    指出，“CMMC 设立了清晰的标准。经过审计后，企业要么处于 L1 级，要么达不到要求。”那些客观上符合安全能力要求的企业会拥有公平的竞争起始点，并且五角大楼能够将安全成本直接纳入合同之中，无需担忧引入与合规性要求相抵触的供应商。

    对于重要合同，若其合规性标准较高，CMMC 规则要求合同内容明确指定各分包商是否需达到相同合规性水平，或者会依据不同分包商所触及信息的实际敏感度为其指定更确切的具体合规性要求。

   

    全新的网络安全机制是建立在认证基础之上的。这意味着五角大楼能够摆脱那些难以解决漏洞修复问题的公司。同时，也降低了供应链的安全隐患。

    参考来源