美国防部发布“网络安全成熟度模型认证 (CMMC)”2.0

11月4日，美国国防部发布“网络安全成熟度模型认证”（CMMC）2.0，旨在确保国防工业部门更好地保护其网络和受控非密信息免遭竞争对手的网络攻击与窃取。该网络安全计划将对国防承包商产生重大影响。

一、背景情况

美国防部首版CMMC于2020年9月发布，为国防承包商构建了其必须遵守的5个不同的网络安全等级标准。在具体实施过程中，承包商负责出资邀请第三方评估机构对其是否满足所要求的标准进行审计，只有符合要求后才能获得国防部的合同。国防部原计划在2026年之前在所有合同中都采用CMMC要求。由于CMMC的实施给承包商造成额外的工作负担和成本，目前已影响到国防工业基础中超过30万个承包商，鉴于此，国防部责令其18个部局的高级领导在2021年初对该项目启动了内部评审，并由负责网络安全的国防部助理部长帮办等5人担任联合评审主席。

二、CMMC2.0计划

（1）主要内容。在内部评审完成后，国防部公布了其CMMC 2.0计划。新计划保留了保护敏感信息这一初始目标，但也做出了一些改变，包括：简化标准，最小化合规障碍，进一步明确监管、政策及合同签约要求，聚焦先进的网络安全标准以及对支撑国防部最高优先事项项目的承包商的第三方评估要求，加强国防部对“评估生态系统中专业及道德”标准的监管，提高项目执行层面的整体操作性。

其中，最为关键的变化是将原来的5个安全合规等级减少至3个。第一级为“基础等级”，将纳入10项网络安全实践并要求受到影响的承包商开展年度自评估；第二级为“高级等级”，将要求110项实践符合美国国家标准与技术研究所特别出版物800-171（即NIST SP 800-171）的要求；第三级为“专家级”，将纳入符合NIST SP 800-171的110项或更多的实践做法。

与首版CMMC不同的是，CMMC 2.0允许“在特定有限情况下”针对“甄选任务—关键需求”的网络安全要求豁免。此外，国防部还计划制定在合同授出前承包商必须实现的需求基线数量，之后承包商可根据“行动计划和里程碑”在后续时间完成剩余的要求 。

（2）实施计划。CMMC 2.0将在完成《联邦条例法典》和《联邦采办条例国防部补充条例》立法过程以及公众征求意见期后予以实施。同时，国防部将中止现有的CMMC试点工作，并在最终规则出台之前不会批准将CMMC要求纳入国防部的任何信息征询书。

（3）作用意义。国防部表示，新的网络安全计划将确保承包商有责任执行网络安全标准，极大增强国防工业基础的网络安全性；通过与工业部门建议一种更加协同的关系将有助于其采用先进的实践做法来防止网络威胁；同时最小化承包商遵循国防部网络安全要求的障碍，使该网络安全项目更易于执行。

来源 | 综合网站

图片 | 互联网

作者 | 申淼

编辑 | 赵霄

注：原文来源网络，文中观点不代表本公众号立场，相关建议仅供参考。

声明：本文来自国防科技要闻，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。