美国防部启动长达数年的供应链网络安全计划

 

1月30日,美国防部采办与保障副部长办公室发布《“网络安全成熟度模型认证”1.0版》文件及其概要介绍和附件,为中小型企业提供网络安全成熟度模型认证(CMMC),以确保国防工业基础安全。已经签署的合同不需要进行新的认证,首批10个强制要求CMMC的征求建议书将于今年秋季发布,但直到2026年才能保证所有承包商都合规,因为五年是国防部诸多合同(以及预算规划流程)的典型期限,需要用带有CMMC认证的新合同逐步替换现有合同。  

一、 “网络安全成熟度模型认证”5个级别

美国防部启动长达数年的供应链网络安全计划
美国防部采办与保障副部长洛德希望大型主承包商帮助分包商达到CMMC要求。主承包商和分包商所需的网络安全级别通常会有所不同,这取决于谁需要使用敏感数据才能完成工作。如果企业不接触“受控非机密信息”,那么仅需获得最低限度的“一级”认证。
美国防部启动长达数年的供应链网络安全计划
▲网络安全成熟模型认证(CMMC)等级
一级要求最低。据国防部负责采办的助理部长办公室网络事务特别助理凯蒂·阿灵顿介绍,CMMC框架大约确定了17个网络安全特定“领域”,一级合规性仅要求在各个领域制定一项基本的“控制”措施。 
二级是过渡阶段。五角大楼通过建立新的流程、规划和预算帮助各企业为更高的认证级别做好准备。其目标仍以“帮助小企业”为主。
三级跨度最大,是处理受控非机密信息的最低要求,企业的控制措施必须从前两级要求的17项增加到110多项。这些标准出自美国国家标准技术研究院的NIST 800-171修订版文件,也是目前许多企业声称已经达到的标准。
四级和五级针对承包最敏感合同的“极核心技术企业”,增加了额外的控制措施。这些标准将来自美国国家标准技术研究院、国际标准组织(ISO)、航空航天工业协会(AIA)等机构已经发布或正在制定的标准。  

二、主要变化

美国防部启动长达数年的供应链网络安全计划
在CMMC认证方案中,最大的变化是,企业不能再“自行认证”达到某种标准,而要由五角大楼授权第三方根据严格的利益冲突规则评估每家企业,费用由企业承担。但其花费以及“ CMMC 第三方评估机构”(C3PAO)由谁承担,洛德仍在与工业界团体商讨。
从9月份的10个试点性招标书开始,越来越多的招标书将指定竞标者在授标时必须达到的CMMC等级。理论上,企业今后可以在不遵守规定的情况下竞标,但必须在选择胜出者之前获得认证,否则将失去资格。 未经认证的企业无法获得合同。五角大楼官员无权给予任何企业网络安全认证的通行证。
CMMC认证尤其会对小企业造成负担,国防部将在不影响国家安全的前提下将影响降至最低。主承包商和工业界协会都在研究构建满足各种CMMC等级的计算基础架构,供分包商访问,让后者不必自己支付创建这些设施的费用。
美国防部启动长达数年的供应链网络安全计划
▲网络安全成熟模型认证时间表

三、执行时间表

美国防部启动长达数年的供应链网络安全计划
美国防部启动长达数年的供应链网络安全计划
洛德为执行CMMC认证计划制定了详细的时间表:
_
_
_

2019 年

● 4月:国防部官员开始每周就CMMC与国防协会举行会议,并定期向国会汇报,寻求国会的反馈。

● 9~12月:国防部接收并审查了关于CMMC草案的“数千条公众意见”。

2020年

● 4月:国防部官员开始每周就CMMC与国防协会举行会议,并定期向国会汇报,寻求国会的反馈。

● 9~12月:国防部接收并审查了关于CMMC草案的“数千条公众意见”。

● 1月:已邀请工业界、学术界和网络安全领域的13位专家(其中一半具有小企业背景)组建CMMC“认证机构”。基本上这是一个由工业界资助的独立、非营利委员会,负责监督第三方评估员的培训和资格认证。国防部与委员会之间的详细谅解备忘录正在起草中。

● 3~4月:认证委员会的在线网站(企业将在此寻求CMMC认证)将聘请第三方认证企业,上线运行。

● 5~6月:五角大楼将在春末夏初完成正式的规则制定程序,并就如何落实CMMC认证推出新版《国防联邦采办条例》(DFAR)。

● 6月:国防采办大学(DAU)将开始提供CMMC的在线课程,五角大楼将发布前10个探路合同的信息征询书,每个合同将影响大约150个承包商和分包商。其中部分合同仅要求CMMC I级,其他合同需要III级,小部分可能需要IV级甚至V级。

● 9月:五角大楼将根据信息征询书的反馈,发布10个合同的正式招标书。合同将在数周或数月后授出。

2020~2026年

在发布新的信息征询书和招标书之前,采办副部长办公室将观察试点合同的运行情况,根据需要对CMMC流程进行调整。在六年中,随着旧的合同完成和新合同签发,所有合同都将转移到新体系中。

四、优先项目

美国防部启动长达数年的供应链网络安全计划
洛德表示,五角大楼将优先考虑最敏感和最重要的项目,特别是核武器、导弹防御项目,以及依据其他交易授权(OTA)、第804节中间层采办、小企业创新研究计划(SBIR)和其他精简流程实施的一系列快速样机项目。
转载自:网络安全创新服务基地

美国防部启动长达数年的供应链网络安全计划

 

原文始发于微信公众号(信息化协同创新专委会):美国防部启动长达数年的供应链网络安全计划

 

注:本站文章除标明原创外,均来自网友投稿及分享,如有侵权请联系dongxizhiku@163.com删除。

         

发表评论