CMMC最近一直是联邦政府承包商的热门话题,这是有充分理由的:一旦CMMC推出,国防部特定采购项目下的承包商必须达到适用的网络安全水平,否则将被视为不合格。
但如果您仍然想知道CMMC是什么以及它为什么重要,让我们仔细看看。以下是关于国防部新的网络安全成熟度模型认证(“CMMC”)你应该知道的五件事。
1.CMMC是什么?
从最基本的意义上讲,CMMC是对公司网络安全的认证。CMMC认证有五个级别,从基本的网络卫生实践(1级),一直到最敏感项目的最复杂的网络安全工作(5级)。
我得承认,我不是网络安全专家。但是国防部已经发布了CMMC模型(v1.0)供承包商审阅。1级认证基本如下52.204 -21.在此基础上,每个级别添加来自NIST的各种需求和实践800 - 171 - r1或800 - 171 b.
2.为什么CMMC很重要?
从2020年年中开始,国防部将开始分配CMMC级别每一个采购问题。但是,由于网络安全要求没有任何确保合规性的措施,它只是一个网络安全建议,国防部已经给了CMMC一套毒牙:它已经使适用的CMMC级别的合规性为a强制性的合同资格要素。换句话说,如果要约人没有达到分配给招标的CMMC级别,它将没有资格获得该奖项。
这还不是全部。遵守适用的任何分包商都需要CMMC认证在机会之下,也一样。
假设空军寻求在威奇托的麦康奈尔空军基地授予一份IT服务合同。审查需求后,订约干事认为CMMC第4级是合适的,并将其分配给采购。每个主要供应商-和每个潜在的分包商-必须有CMMC 4级认证(或更高)才有资格。
现在让我们假设空军想要发布一份麦康奈尔空军基地的地面维护服务合同。显然,CMMC 4级认证在这种情况下是多余的;相反,1级可能是合适的。一家公司只要有相应级别的认证,就有资格参加投标。
3.贵公司如何获得CMMC认证?
CMMC认证必须通过第三方审核员认证。截至2020年2月中旬撰写本文时,国防部尚未宣布这些审计员将是谁,也未宣布审计过程将是什么样子。然而,国防部表示,最早将于2020年6月开始在信息请求中包括CMMC级别的要求。
有益的是,国防部发布了草案模型进行审核。我怀疑,一旦正式宣布这一进程,将会有大量的审计请求。公司现在开始审查和实现CMMC v1.0将会受益良多。
4.CMMC会让你们公司花钱吗?
毫无疑问,是的。需要加强网络安全工作以应对CMMC的公司可能需要专家的协助,他们可以提供所需的设备、软件和程序。但是,即使您的公司有严格的网络安全保护措施,它也必须承担通过审核和获得CMMC认证的成本。
尽管遵从CMMC需要花钱,但还是有希望的。SBA而且国防部在可能的情况下,努力为小型联邦承包商提供帮助。你当地的采购技术援助中心也可能有可用的资源。此外,重要的是,国防部已宣布,网络安全成本将成为国防部合同中的“允许成本”,这可能使小型企业主承包商有机会收回一些相关的合规成本。
5.即使你不在国防部工作,你应该关心CMMC吗?
当然,有两个原因。首先,拥有强大的网络安全防御显然是件好事,可以帮助保护你的业务和客户。
其次,CMMC可能是未来的潮流。与数据泄露和网络入侵相关的风险不仅影响到国防部——每个联邦机构都面临风险。因此,尽管CMMC目前是国防部的一项具体举措,但如果山姆大叔采用政府范围内的网络安全认证要求来帮助保护其信息,我也不会感到惊讶。
***
毫不夸张地说,CMMC可能是最近记忆中最重要的联邦合同发展之一。未来,每个国防部承包商——主承包商或分包商,小型企业或大型企业——必须满足所需的CMMC认证;如果没有,它将没有资格获得该奖项。
关于这篇文章有什么问题吗?电子邮件我们或者给我们打电话785-200-8919.