美国防部的供应链网络安全标准今日正式生效

巴里·罗森伯格

2020年12月1日下午5:19

洛克希德·马丁公司的F-35装配线。

一年多以来，美国国防部一直在为行业做准备，以便开始将承包商提高网络安全标准，同时还威胁到如果未来的国防部合同不符合要求，就可能被拒之门外。作为网络安全成熟度模型认证（CMMC），今天是CMMC生效的日子。最终不遵守的承包商将不得不寻找新的商业方式。

“今天是新的一天的开始，”美国国防部助理部长负责网络采购的特别助理凯蒂·阿灵顿在AFCEA TechNet网络会议上说。“这是一次重大的文化转变，我想所有人都知道这是使网络安全成为（DoD采购）基础的开始。“我们需要确保我们传授最佳实践，并以有关网络安全的批判性思维帮助业界。”

当您阅读本文时，新的针对CMMC的《国防联邦采购法规补充》（DFARS）包括三个正在生效的新规则，但Arrington说，美国国防部正在按“爬，走，跑”的方式实施，因此公司不会立即面临风险。国防工业基地（DIB）必须立即采取步骤。

第一个是“爬”。在信任但验证的模型下，承包商必须登录国防部的供应商效能风险系统，并自我报告其公司如何实施国家标准与技术研究院（NIST）的要求，以控制受控非保密信息（CUI）。公司将自己的评分在0到110之间，这是NIST要求的网络安全控制措施的数量。

CUI是公司代表政府触摸，存储，控制或传输的信息，虽然没有涉密或保密要求，但需要维护。从个人身份信息（PII）到紧急响应计划，CUI可以是任何东西。在2008年之前，CUI被称为“仅供官方使用”和“敏感但非保密”的文档和数据。

美国国防部采购与维持局副局长办公室指出：“ DIB部门失去控制的未保密信息的全部损失，增加了国家经济安全的风险，进而增加了国家安全的风险。” “为了减少这种风险，DIB部门必须加强其网络中对CUI的保护。CMMC旨在充当一种验证机制，以确保适当水平的网络安全实践和流程到位，以确保基本的网络卫生，并保护驻留在行业合作伙伴网络上的CUI。”

第二项新控制措施“走”，要求任何将自己的评分定在80到110之间的公司都必须经过国防合同与管理机构（DCMA）的审核，以证明他们没有夸大其网络安全立场。这是验证部分，已经进行了大约两年，因为公司很可能在CMMC成为要求之前就可以开始自我评估。因此，审核是新控件的“执行”部分。

第三个控件是“跑”，实际上是CMMC的名称。这是“我们如何确保网络安全是所有采购的基础的实例，”阿灵顿说。从今年晚些时候开始，CMMC要求将成为所有DoD信息请求的一部分。展望未来，承包商竞标某些国防部工作的能力将取决于其CMMC的状态。

有两个例外：10,000美元以下的“微型购买”和现成的商品不需要CMMC。

声明：本文来自网电空间战，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。