国防部承包商开始准备新的网络安全认证要求

随着针对国防部(承包商)的网络攻击继续威胁到国家安全,该计划正在加强对供应链内数据安全要求的监督和执行。负责网络收购的助理国防部长特别助理凯蒂·阿灵顿宣布了一项新的网络安全成熟度框架和认证流程,该流程将于明年首次亮相,建立在现有的国防联邦收购法规(dfars 252.204-7012)基础上,以保护受控的非机密信息(CUI)。该公告影响了包括国防工业基地(dib)在内的30多万家公司。

框架

网络安全成熟度模型认证(cmmc) - 将结合现有的安全框架,包括国家标准和技术研究所(nist)特别出版物800-171,用于保护cui,并将建立多个网络安全成熟度级别,以加强和统一围绕cui的保护。 dod预计将在2020年1月发布cmmc框架的最终版本,并且承包商应该期望将认证要求作为从2020年6月开始的信息请求的一部分.arrington宣布承包商将需要与dod合作合同官明年将在回应2020年9月开始的提案申请之前确定其组织所需的认证级别。

cmmc将被用作国防承包商的统一标准,以证明网络安全计划的成熟度和对Cui的保护。 dod承认,不同规模的承包商都在努力维持适当的网络安全态势,并相信这个新框架将帮助承包商实施有效的网络安全控制,以适应其业务的规模和性质,并满足dod的要求。

该框架的关键要素包括:

  • 成熟度模型: The CMMC will define five maturity “tiers” to distinguish maturity of cybersecurity controls. 该 DoD will determine the appropriate tier, based upon the nature of the contract, and will note specific CMMC requirements in sections L & M of Request for Proposals.
  • 认证: 所有dod primes和subs将被要求确定他们所需的成熟度和认证级别,并接受由第三方执行的认证评估。每份合同所要求的数据性质将决定认证所需的成熟程度。不允许进行自我评估和自我认证。
  • 允许的费用: dod表示,认证和安全实施的成本可能是承包商的允许成本。
  • 执法: 一旦在提案申请中引用了认证,承包商就需要获得认证才能赢得合同。该决定将毫无例外地基于承包商达到的认证水平。开发cmmc是一个明确的信号,即通过供应链保护敏感信息仍然是dod的首要任务。

dhg的政府合同及其咨询团队为承包商提供安全评估和nist 800-171合规咨询服务,并将在未来几个月内对cmmc及其特定要求进行更明确的定义,为客户提供建议。

关于dhg它的建议

dhg it 咨询与公司合作管理技术风险,同时保持数据完整性,保护隐私和遵守法规。从项目管理和法规遵从协助到数字取证和事件响应,dhg能够满足您的咨询需求,推动您的业务发展。要了解有关dhg的咨询服务的更多信息,请访问 dhg.com/itadvisory.

关于dhg政府承包

dhg政府合同为与民间机构,国防部和情报机构的每个领域合作的政府承包商提供保证,税务和咨询服务。我们帮助加强对适用的远和cas要求的遵守,使公司能够满足sba,dcma和dcaa等监管机构的期望。要了解有关dhg政府承包业务的更多信息,请访问 dhg.com/industries/government-contracting.