如果和美国国防部做生意，要知道什么

2020年9月29日，美国国防部(DoD)发布了一项临时规则，修订DFARS，以实施国防部评估方法和网络安全成熟度模型认证(CMMC)框架，以评估承包商的网络安全要求的实施情况，征求公众意见。据该新闻稿称，虽然一段时间以来，网络安全要求一直是国防采购过程中的一部分，以符合NIST 800-171的形式存在:

• “来自国防部监察长报告的调查结果表明，国防部承包商没有始终如一地实施保护CUI的强制性系统安全要求，”
• 目前的合规要求“没有为国防部提供足够的关于国防工业基地(DIB)公司在任何给定项目或技术开发工作的多层次供应链上的网络安全态势的见解”
• “NIST SP 800-171 / DFARS条款252.204-7012未能充分解决包括高级持续威胁(apt)在内的额外威胁”，因此，国防部需要“针对DIB部门的基于风险的网络安全框架，如CMMC，作为强制性国防部标准的基础”。

CMMC依从性的结果

虽然国防部的目标是最终使所有合同都符合CMMC的要求，但分阶段推出的过程将在大约90天内有效启动，包括在过渡期间采取双管方法，以确保DIB保护FCI和CUI(受控非机密信息)的能力。在国防部承包商群体中实施CMMC的时间表大约为7年。临时的双管齐下的方法包括:

1.CMMC:

要求CMMC合规的合同将要求承包商在授予时具备相应的认证。因此，已经在RFI/RFP中看到CMMC要求的承包商现在应该针对CMMC要求开始差距评估过程，弥补差距，并证明过程成熟度以获得认证。他们还应该确保他们的供应链也符合要求。

2.NIST SP 800 - 171国防部评估方法:

不需要CMMC的合同将要求承包商遵守NIST SP 800-171国防部评估级别之一(基本、中等、高)，基于信息的临界性。这些承包商将被要求将其评估分数、评估日期、所需补救措施描述和预计完成日期以及各自的CAGE编号上传到供应商风险管理系统(SPRS)。要求进行基本水平评估的承包商可以自行进行评估，并将所需信息上传到SPRS上，而其他承包商则必须用证据和文件支持政府进行的评估。

从本质上说，国防部正在加强对DIB内网络安全风险管理的努力。除了需要基本水平评估的组织外，所有其他组织都将有某种程度的外部审计。在网络安全风险管理工作中，确保信息的完整性、严谨性、一致性和成本生产率符合所有组织的最大利益。他们应该尽早开始为CMMC而努力;这不仅会使向CMMC的过渡更加顺利，而且还会提高企业风险管理的成本效益。

这个故事最初出现在Resiliant的网站．Resiliant是CFE Media的内容合作伙伴。