1月31日,美国防部宣布已完成其首份针对承包商的网络安全标准“网络安全成熟度模型认证(Cybersecurity Maturity Model Certification,CMMC 1.0)”的制订工作,该标准要求期望获得美国防部订单合同的厂商事先通过第三方测评机构认证,并获得与项目投标内容和安全密级资质要求相符的网络安全等级(分成1至5级)。

美国防部负责采购和维护工作的国防次长艾伦.洛德(Ellen Lord)在美国防部当天的发布会上指出,信息和技术是当前大国竞争环境下的两个关键基石,而对手“知道攻击供应链上的下级承包商比主承包商更容易”。美国政府已多次指出他国实施的网络攻击行为令美国每年损失6000亿美元。

美国防部之前并未明确要求其承包商需要遵守的网络安全标准,承包商只需承诺自己满足某个网络安全标准即可。“网络安全成熟度模型认证”标准实施后,承包商将需要达到与其期望拿到的订单合同相应的认证级别才能参与美国防部的投标。美国防部采购次长首席信息安全官、负责该标准实施工作的凯蒂.艾林顿(Katie Arrington)指出,如果承包商参与投标的并非涉及特别敏感信息的美国防部合同,那么只需获得第一级认证——只涉及密码策略、使用反病毒软件等基础网络安全要求,但保密程度更高的项目则需要实施更严格的控制。

“网络安全成熟度模型认证”对承包商的认证流程将在美国防部体系之外进行。该标准将设立职能为确定可对承包商进行认证之认证机构的认证委员会,该委员会已在年初完成组建,目前正在确定并培训称之为“认证第三方评估组织(Certified Third-Party Assessment Organizations,C3PAO)”的认证机构。

艾林顿指出,她预计到2021年底将有1500家承包商通过“网络安全成熟度模型认证”标准的认证,在2026财年开始的所有新合同中包含对该标准的强制要求。洛德则透露美国防部暂时不打算将这个要求追溯至2026财年之前的合同。

声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。