现在开始考虑新年决心并不算太早。除了其他个人目标,联邦承包商可能还想在他们的清单上增加一项网络安全决议。美国国防部起草了一份网络安全认证,将于2020年1月完成。从明年秋天开始,承包商必须获得认证,才能提交有关辩护请求的提案。
往下读,看看其中的一些亮点。
的网络安全成熟度模型认证CMMC旨在“审查和结合各种网络安全标准和最佳实践,并在从基本网络卫生到高级网络卫生的多个成熟度级别上绘制这些控制和流程。”它增加了对涵盖的国防信息的保障措施,已经在现有的DFARS 252.204 -7012.本条例规定了充分安全和报告网络事件的程序。
新的认证将要求“经认证的独立第三方组织对联邦承包商进行审计”。但这些要求将与承包商的规模成比例,目标是“使小型企业在较低的CMMC水平上实施具有成本效益和负担得起”。
你可以看看水流版本CMMC;它将在2020年1月完成更新,并进行下一次更新计划11月。明年秋天,rfp将开始要求提供该证书。
CMMC站点包括一个列表常见问题的以及其他你应该了解的信息,但这里有一些重点。
- 受管制的非机密资料(CUI)是政府声明需要保护的非机密信息的总称。它包括国防和关键基础设施,还包括自然和文化资源以及税收等信息。这与保密信息的要求是分开的。
- 国防部将把CMMC添加到招标的需求部分,并将其用于“进行/不进行决策”。
- CMMC将统一各种网络安全控制标准,包括NIST标准包括SP 800 - 171保护非联邦系统和组织中受控非机密信息的建议。
- 国防部将要求承包商雇佣第三方独立的商业认证机构,根据公司将要执行的合同类型进行CMMC评估,然后获得证书。不允许自我证明。但是,认证费用将被认为是允许的、可偿还的费用。
- 该要求将适用于所有主承包商和分包商,无论他们是否与CUI合作。
- 网络安全有五个不断增加的级别,从基本到高级。这些实践涉及18个领域,如访问控制、人员安全以及系统和信息完整性。1级安全实践的例子包括反病毒和临时事件响应。相比之下,第5级包括实时资产跟踪和24×7安全运营中心等功能。
正如您所看到的,这些要求是强有力的,但根据承包商将使用的信息级别有一个滑动的规模。如果您的公司与国防部有任何合作,就需要熟悉这些要求。
国防部鼓励公众发表意见。所以看看这些信息让国防部知道他们如何以最有效的方式实现这个需求。我们会让你在CMMC的任何重大变化更新在这里必威体育简介.
关于这篇文章有什么问题吗?电子邮件我们或者给我们打电话785-200-8919.