KatieArrington談到了即將實施的網絡安全成熟度模型認證。事實上,隨著新一代網絡安全成熟度模型認證(CMMC)所授權的15份合同的截止日期臨近,五角大樓方面明確表示,這僅僅是個開始,未來至少對1500家承包商及分包商進行網絡安全成熟度認證。
“信任(承包商),但也要驗證。”
相關規則將于今年12月1日起對新的合同正式生效。而這么做的原因是考慮到針對美國安全薄弱點的對手會試圖攻擊商業和軍事網絡,以竊取機密。而接下來國防部將強制推行的新的網絡安全合同規則,會確保整個員工隊伍建立能力基準,同時嚴格遵守美國家標準技術研究所(NIST)與國防部相關標準。因此,KatieArrington認為,這一舉措對于美國的商業,國家安全至關重要。
后續,她和團隊還將繼續推進,并在數天內完成過渡,直到臨時規則生效。一旦臨時規則制定,就會密切籌備作為試點的15份合同。這15份合同將開始向承包商之間新的、可核查的網絡安全轉變。預計至少1500個承包商和分包商參與項目,且全部需要獲得網絡安全認證。
這些合同將散布在各個服務部門,比如美國運輸司令部、網絡司令部,涉及導彈防御局等所謂“第四等級”機構。合同的數額與復雜程度有所不同,認證工作計劃在2021財年內進行。
值得注意的是,只要一家企業能夠符合部分110NIST標準條款,并宣稱將致力于遵守其余條款,即可參與競標。簡答來說,就是在競爭國防部合同時,并不需要完全證明全部的合規性。
Arrinton指出,“CMMC設定了明確的標準。審計后,企業要么處于L1級,要么不符合要求。”在客觀上滿足安全能力要求的企業將擁有公平的競爭起點,而五角大樓也可以將安全成本直接納入合同,不必擔心引入與合規性要求相沖突的供應商。
對于合規性標準較高的重要合同,CMMC規則還要求合同內容明確指定各分包商是否需要達到相同的合規性水平,或者會根據不同分包商所觸及信息的實際敏感度為其指定更確切的具體合規性要求。
建立在認證基礎之上的全新網絡安全機制,意味著五角大樓終于可以擺脫那些難以解決漏洞修復問題的公司,降低了供應鏈安全隱患。
