国防部CMMC需求11月30日开始推出

贴在 通过

由于很多原因,2020年2月似乎是很久以前的事了。但那是网络安全成熟度模型认证(CMMC)标准的正式版本发布.最近,国防部发布了一项临时的规则将更新DFARS,以实施国防部采购的评估方法和CMMC框架,并在NIST SP 800-171框架下增加网络安全评估的新要求。以下是一些关键点。

临时的规则将于2020年11月30日生效,这也是征求意见的截止日期。我怀疑这条规则会有很多评论,所以有趣的是,生效日期和评论的截止日期是相同的。我建议尽早获得评论,以便国防部有更好的机会审查它们。

NIST SP 800-171规则

该规则将实施美国国家标准与技术研究所(NIST)特别出版物(SP) 800-171国防部评估方法和CMMC框架。但国防部声称,这两项评估“不会重复每一项评估的工作”。

DFARS 252.204 -7012,保护涵盖的国防信息和网络事件报告,包括在所有合同中,但仅为商业上可用的现货(COTS)项目的采购除外。根据这一条款,国防部将评估承包商对承包商计算机网络内“覆盖承包商信息系统”的NIST SP 800-171安全要求的实施情况。更多关于NIST SP 800-171国防部评估方法的信息在这里

根据拟议的规则,合同官员必须核实要约方在授予合同之前,是否有现行的NIST SP 800-171国防部评估记录。这将通过两个新的dars条款来实现:dars 252.204-7019, NIST SP 800-171国防部评估要求的通知,以及dars 252.204-7020, NIST SP 800-171国防部评估要求。根据DFARS 252.204-7019,如果要约方没有NIST SP 800-171 DoD评估分数,“要约方可以进行并向webptsmh@navy.mil提交基本评估,以便发布到SPRS。”此电子邮件必须包含所需信息的列表,例如关于“系统安全计划”的详细信息。

CMMC规则

NIST SP 800-171和CMMC评估之间有许多不同之处。根据NIST SP 800-171,对于基本评估——评估级别为基本、中等和高——承包商进行自我评估。相比之下,CMMC有五个等级的评估,从1到5一个都没有允许自我评估。另一个区别是政府执行NIST SP 800-171的两个更高级别的评估,而独立审核员(非政府雇员)将执行所有级别的CMMC认证。对这两个框架的评估结果将记录在供应商绩效风险体系(spr)

国防部在这项临时规则中承认,它无法每三年评估大约22万名国防部承包商的网络安全水平。因此,对承包商的政府评估将仅限于“对支持优先项目和/或技术开发工作的国防部承包商子集进行有针对性的评估”。CMMC要求针对数以千计的承包商进行评估,国防部永远不会对这些承包商进行直接的网络安全评估。

CMMC框架旨在确保政府承包商保护敏感的非机密信息,如联邦合同信息(FCI)和受控非机密信息(CUI),一直到其分包商。以下是CMMC五个级别的摘要:

  1. 由FAR条款52.204-21中的15项基本保障要求组成。
  2. 由NIST SP 800-171的65个安全要求组成,通过DFARS条款252.204-7012实现,7个CMMC实践和2个CMMC流程。作为承包商晋升至第3级的可选中间步骤。
  3. 包含NIST SP 800-171的所有110个安全需求,20个CMMC实践和3个CMMC过程。
  4. 包含NIST SP 800-171的所有110个安全要求,46个CMMC实践和4个CMMC过程。
  5. 包含NIST SP 800-171的所有110个安全需求,61个CMMC实践和5个CMMC流程。

这个CMMC规则可以在DFARS 252.204-7021中找到。然而,CMMC将分阶段推出,这意味着它一开始并不适用于所有合同。在2025年9月30日之前,CMMC条款只有在获得采办和维持副国防部长办公室批准的情况下才会被纳入招标。从2025年10月1日开始,“CMMC将适用于所有国防部招标和合同,包括那些价值大于微采购门槛的商业项目(专有COTS项目除外)的采购。”在这一点上,承包商必须有CMMC认证在要求的水平,是少于三年。

新的DFARS条款(DFARS 252.204-7021)将要求承包商做到以下几点:

  1. 在合同期间保持必要的CMMC水平;
  2. 确保其分包商在授予分包合同或其他合同文书之前也具有适当的CMMC级别(主承包商应考虑将此认证包括在团队协议或分包合同中,以便分包商在合同需要时证明其CMMC级别);而且
  3. 在所有分包合同或其他合同文书中包括该条款的要求。

关于CMMC需求还有其他一些需要注意的事情。首先,时间:所需的认证必须在授予时到位,而不是在初始报价时。

第二,存在争议程序。承包商可以对CMMC第三方评估组织(C3PAO)的CMMC评估提出异议。

承包商可以向cmc - ab提交争议裁决请求,并提交与C3PAO声称的错误、渎职或道德失误相关的支持信息。cmc - ab将遵循正式程序审查裁决请求,并向承包商和C3PAO提供初步评估。如果承包商不接受CMMC-AB的初步调查结果,承包商可以要求CMMC-AB的工作人员进行额外的评估。

国防部的新规定将要求国防部承包商和分包商对NIST SP 800-171和CMMC进行评估。NIST SP 800-171要求将从11月30日开始实施,而CMMC认证将从同一日期开始包含在一些招标中。到2025年10月1日,CMMC要求将包括在所有国防部招标中。如果承包商还没有审查这些要求,时间就不多了。

关于这篇文章有什么问题吗?或者在政府合同法律问题上需要帮助?电子邮件我们或者给我们打电话785-200-8919

寻找最新的政府合同法律新闻?注册我们的免费每月通讯,然后跟我们走LinkedIn推特而且脸谱网