数字之外的专业知识

国防部发布网络安全成熟度模型认证(CMMC)计划暂行规则

2020年9月29日,国防部(DoD)发布了一项更新 临时的规则 在其最近的网络安全成熟度模型认证(CMMC)计划中. 更新后的规则宣布了国防部评估方法(评估方法), 在进行全面CMMC评审前对承包商的临时要求.

临时规则被设计为两阶段方法,以评估和核实承包商保护其内部系统受控非机密信息(CUI)的能力. 在新的指导下, 合规的两个阶段是:(1)使用NIST 800-171 DoD评估方法进行差距评估, (2)正式的CMMC认证.

在这里了解更多葡京官网CMMC的细节.

DFARS条款252.204 - 7019(临时规则), 通知有关人员,他们必须在名为“供应商表现风险系统”(SPRS)的政府数据库中有一份现行(不超过三年)评估记录。. 该条款在所有国防部招标中都是必需的,除了那些仅用于购买商用现货(COTS)的项目.

评估可分为以下三个级别:

  • 基本
  • 媒介

在新的合同行动中需要进行基本的评估, 包括选择练习, 在11月30日, 2020. 合同被授予后, 承包商可能会被要求接受“基于程序的临界性或承包商处理的信息的敏感性”的中或高评估.“进一步, 承包商将被要求将这些要求贯彻到除COTS项目外的所有分包合同中. 另外, 承包商不得授予分包合同,除非分包商在SPRS中正式上传了当前的评估.

基本评估将要求承包商使用美国国防部的NIST SP 800-171评估方法对其实施的NIST SP 800-171控制进行110分的评分. 该规则并不要求承包商达到特定的最低分数, 然而, 承包商将没有资格授予合同,除非他们提交他们的识别分数 实体期望获得满分110分的日期.

根据最新的更新,很明显CMMC将在几年内推出. 直到认证完全实施, 国防部负责采购和维持的副部长办公室将特别指定哪些采购需要符合CMMC的要求. 在10月1日前, 2025, 所有与国防部的合同, COTS项目的合同除外, 要求在征集中确定CMMC级别. 在这一点上, 所有承包商和分包商都需要在一定程度上获得CMMC认证.

随着CMMC需求的不断发展,仍然有许多问题悬而未决,我们敦促实体在发布更新时跟踪它们.