编者按
美国国防部7月13日宣布,立即暂停“网络安全成熟度模型认证”(CMMC)计划第二阶段的要求,并成立专项工作组对现行认证制度展开为期60天的全面审查,以落实美国国防部长指令,消除制约国防工业基础扩张的官僚障碍。
美国国防部7月13日发布由美国国防部首席信息官克尔斯滕·戴维斯签发的主题为“消除国防工业基础扩张的障碍:立即暂停CMMC要求并进行战略审查”的备忘录。该备忘录指出,为保持美国军事武器研发和制造优势,并落实美国国防部长“采办转型系统”指令,必须果断消除那些阻碍快速形成作战能力的官僚主义障碍;网络安全固然是至关重要的国家安全要务,但应对方式必须务实、利于业务开展、具备可扩展性并与更广泛的战略目标保持一致,行政合规不应以牺牲作战能力和国防工业基础发展为代价;现行CMMC计划虽以提升安全性为目标,却给国防承包商特别是作为创新引擎的中小型及非传统企业带来了“沉重且令人望而却步”的负担;数据显示,CMMC计划在结构上与快速扩大国防工业基础的需求不相容;高昂合规成本、第三方评估人员严重短缺及复杂监管时间表,正迫使新进入者和关键供应商放弃国防合同,这直接违背了美国国防部长关于降低准入门槛、优先“商业优先”理念及利用非传统采购方式的指令,且危及作战能力交付;美国国防部的方针必须侧重于实现供应链韧性与网络安全之间的务实平衡,而非以牺牲任何一方为代价。
该备忘录指示立即采取以下三项行动:一是暂停原定于2026年11月实施的CMMC第二阶段过渡截止日期,暂缓执行美国国防部所有招标和合同中所有待定及未来的CMMC实施里程碑;二是成立CMMC审查与改革特别工作组,对该认证计划进行为期60天的全面审查,并重新设计供应链网络安全框架,以优先考虑快速形成能力、降低中小及非传统企业门槛,并以可扩展、切合实际的安全措施取代成本高昂且阻碍重重的第三方合规模式;三是过渡期内,继续通过国防工业基础自评估和政府主导的评估执行NIST SP 800-171 Rev 2基本合规要求,国防供应商仍须按照《国防联邦采购条例补充条款》规定履行保护国防信息和报告网络事件义务,美国防部继续向国防工业基础提供免费网络安全支持服务以确保企业在满足安全标准的同时顺利开展业务。
奇安网情局编译有关情况,供读者参考。

美国国防部7月13日发布由美国国防部首席信息官克尔斯滕·戴维斯签发的主题为“消除国防工业基础扩张的障碍:立即暂停网络安全成熟度模型认证(CMMC)要求并进行战略审查”的备忘录。
该备忘录指出,美国研发并制造着世界上最具杀伤力的武器系统,为了保持这一优势,并落实美国国防部长关于建立“采办转型系统”(ATS)及使国防部进入战时状态的指令,必须果断消除那些阻碍快速形成作战能力的官僚主义障碍;尽管防范对手入侵网络仍是至关重要的国家安全要务,但应对方式必须务实、有利于业务开展、具备可扩展性,并与美国更广泛的战略目标保持一致;现行的“网络安全成熟度模型认证”(CMMC)计划虽然旨在提升安全性,却给国防工业基础(DIB)带来了沉重且往往令人望而却步的负担,特别是作为美国创新引擎的小型企业和非传统企业;网络安全固然重要,但行政合规不应以牺牲作战能力和工业基础发展为代价。

该备忘录指出,近期的数据和反馈(包括来自美国小企业管理局的报告)显示,现行CMMC计划在结构上与快速扩大国防工业基础的需求不相容;高昂的合规成本、第三方评估能力的严重短缺以及复杂的监管时间表,正迫使创新的新进入者和小企业放弃国防部合同,并将关键供应商拒之门外;美国国防部长已指示国防部降低准入门槛,优先树立“商业优先”的理念,并利用非传统的采购方式;在当前架构下继续执行CMMC的截止日期,直接违背了上述指令,并危及向作战人员交付作战能力的能力;美国国防部的方针必须侧重于实现切实可行的供应链和网络安全韧性,而不是以牺牲其中一方为代价来实现另一方。
该备忘录指出,为了使网络安全态势与ATS的原则保持一致,现指示采取以下立即行动:
暂停即将到来的截止日期(包括2026年11月的第二阶段过渡):暂停原定于2026年11月实施的CMMC第二阶段过渡截止日期。此外,在美国国防部的所有招标和合同中,所有待定及未来的CMMC实施里程碑均暂缓执行,直至另行通知。项目经理和需求提出单位仅应在采购申请及需求文件中列入对CMMC一级或二级自评估的要求。合同中所有其他网络安全条款保持不变。
CMMC审查与改革特别工作组:将立即成立一个专门的CMMC改革特别工作组,对该认证计划进行为期60天的全面审查。该工作组将包含跨部门代表以确保审查的全面性,并负责重新设计供应链网络安全方针,使其严格符合国防部长关于“采办转型系统”(ATS)的指令。该工作组的任务是提出关于改革网络安全与运营韧性框架的建议,该框架应优先考虑快速形成能力,降低中小型及非传统企业的准入门槛,并以可扩展、切合实际的安全措施取代那些成本高昂且阻碍重重的第三方合规模式。
过渡期网络态势:在暂停期间,美国国防部将继续通过国防工业基础(DIB)自评估和部分由政府主导的评估,强制执行符合NIST SP 800-171 Rev 2 标准的基本合规要求,重点关注切实有效的网络卫生实践,而非第三方认证或官僚主义且成本高昂的繁琐程序。《国防联邦采购条例补充条款》(DFARS)第252.204-7012条(关于“保护受控国防信息与网络事件报告”)中规定的网络安全要求仍然有效。现有的美国国防部DIB网络安全服务(即美国国防部网络犯罪中心服务、国家安全局网络安全协作中心服务、小企业项目办公室的“光谱项目”[Project Spectrum])将继续作为免费资源,确保企业在满足现有网络安全要求的同时获得支持并实现业务开展。
该备忘录指出,仅靠合规清单无法战胜对手,要通过快速部署由不断壮大且具有韧性的美国工业基础所提供的卓越能力来战胜他们;本指令即刻生效,后续指导意见将在未来几个月内发布。

CMMC的暂停和审查是美国国防部多年来为强制执行承包商网络安全标准而做出的努力中又一个意想不到的转折。这些努力始于近十年前,当时监察长审计和其他报告揭露,许多国防承包商尽管自我声明符合标准,但实际上并未遵守相关规定。当时,人们担心美国对手能够渗透到承包商和供应商中,窃取信息并进行汇总,从而获得重大优势。美国国防部在特朗普第一任期内,由前采购官员凯蒂·阿灵顿领导,开始制定CMMC计划。
CMMC计划的初衷是加强整个工业基础的安全,防止最薄弱的环节成为敌对势力的突破口。CMMC的主要目标是利用第三方审核员来检查承包商是否符合网络安全标准,而不是依赖自我声明。美国国防部通过一份无成本合同,成立了一个“网络认证机构”,该机构负责监管一个由独立第三方评估员组成的网络,这些评估员的任务是执行CMMC评估。
最初设想的CMMC是一个分级网络安全框架,根据企业开展业务所需的分类和安全级别,将其分为一到五级。但由于担心合规成本和对小型企业的负担,拜登政府于2021年暂停了该计划,并展开全面审查。美国国防部当时的应对措施是削减项目要求,从而减少需要接受第三方评估的承包商数量。拜登政府对该计划进行了修订,将级别从五级缩减至三级,并称之为CMMC 2.0。
美国国防部最初计划通过一项为期三年的实施计划来引入CMMC要求。第一阶段于2025年11月开始,要求根据CMMC一级和二级标准进行自我评估。第二阶段原计划于2026年11月启动,届时企业必须通过经认证的第三方评估机构(C3PAO)的评估,达到CMMC二级标准,方可获得合同。第三阶段原计划于2027年11月启动,届时将引入国防工业基地网络安全评估中心(DIBCAC)CMMC三级评估。该备忘录所针对的第二阶段要求企业每三年进行一次自我评估和第三方评估。
特朗普政府已将放松官僚主义限制和障碍作为首要任务,以加快系统和能力的交付,同时寻求发展工业基础。
克尔斯滕·戴维斯表示:“我们发现,仍有超过10万家DIB企业需要进行第三方评估,而能够提供此类评估的评估人员只有大约100人,或许略多于100人。因此,对于中小企业来说,要赶在原定的过渡日期2026年11月10日之前达到合规标准,根本不可能。”

负责采购和保障的美国国防部副部长迈克尔·达菲表示:“有哪些变化?我直截了当地说,我们正在暂停复杂的审计工作,不再要求第三方评估机构和审计。我们正在立即清理正在进行的招标项目。如果当前的国防招标或合同包含那些已暂停的第二阶段要求,我已经指示我们的项目经理和合同官员尽快对其进行修改。”同时,他还表示: “我们绝不会放松任何标准,我们希望企业遵守美国国家标准与技术研究所(NIST)制定的标准。我们只是简化了第三方评估的繁琐程序。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。