美国防部合同招标要求涵盖CMMC网络安全认证

供稿人：徐婧

1月31日，美国国防部（DOD）发布了网络安全成熟度模型认证（CMMC）1.0版，并表示到2020年9月底，部分参与DOD招标的企业需要达到基本的网络安全标准等级。

国防部在当日的发布会上表示，预计到2020年6月，国防部将发布多达10项信息征询书（RFI）相关要求，其中即包括进行CMMC认证的要求；9月底前，国防部将发布涵盖CMMC认证的提案征询书（RFP）要求；到2026年，所有新的国防部合同都将包含CMMC要求。

CMMC为国防部提供了合同承包企业网络就绪度的验证机制。其中，获得顶级合同的企业被称为“主要承包商”，中小型企业可和主要承包商签订子合同成为次要承包商。

新版CMMC为网络安全实践与流程提供五个认证等级。例如，等级1包含最基础的网络安全卫生技能，即是否安装杀毒软件、是否更新密码和杀毒软件等；等级2注重企业的网络安全流程，如企业实践是否得到有效归档、管理、审核和优化。在实际的招标过程中，不同的认证等级会进行组合，主要承包商和次要承包商需达到的认证等级也不尽相同。

CMMC认证将由第三方评估机构（C3PAOs）执行。同时，一个由来自国防行业、网络安全界和学术界的13名成员组成的CMMC认证机构将负责监督C3PAOs的培训工作、质量和管理能力。此外，国防部和CMMC认证机构之间将签署备忘录，明确双方角色、职责和规则，以规避认证过程中的利益冲突。国防部还表示，CMMC将为企业投标创造公平的竞争环境，只有达到要求的企业才能参与竞标。

声明：本文来自新一代信息科技战略研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。