編者按
1月30日,美國防部採辦與保障副部長辦公室發布《「網絡安全成熟度模型認證」1.0版》文件及其概要介紹和附件,為中小型企業提供網絡安全成熟度模型認證(CMMC),以確保國防工業基礎安全。已經簽署的合同不需要進行新的認證,首批10個強制要求CMMC的徵求建議書將於今年秋季發布,但直到2026年才能保證所有承包商都合規,因為五年是國防部諸多合同(以及預算規劃流程)的典型期限,需要用帶有CMMC認證的新合同逐步替換現有合同。
一、 「網絡安全成熟度模型認證」5個級別
美國防部採辦與保障副部長洛德希望大型主承包商幫助分包商達到CMMC要求。主承包商和分包商所需的網絡安全級別通常會有所不同,這取決於誰需要使用敏感數據才能完成工作。如果企業不接觸「受控非機密信息」,那麼僅需獲得最低限度的「一級」認證。
網絡安全成熟模型認證(CMMC)等級
一級要求最低。據國防部負責採辦的助理部長辦公室網絡事務特別助理凱蒂·阿靈頓介紹,CMMC框架大約確定了17個網絡安全特定「領域」,一級合規性僅要求在各個領域制定一項基本的「控制」措施。
二級是過渡階段。五角大樓通過建立新的流程、規劃和預算幫助各企業為更高的認證級別做好準備。其目標仍以「幫助小企業」為主。
三級跨度最大,是處理受控非機密信息的最低要求,企業的控制措施必須從前兩級要求的17項增加到110多項。這些標準出自美國國家標準技術研究院的NIST 800-171修訂版文件,也是目前許多企業聲稱已經達到的標準。
四級和五級針對承包最敏感合同的「極核心技術企業」,增加了額外的控制措施。這些標準將來自美國國家標準技術研究院、國際標準組織(ISO)、航空航天工業協會(AIA)等機構已經發布或正在制定的標準。
二、主要變化
在CMMC認證方案中,最大的變化是,企業不能再「自行認證」達到某種標準,而要由五角大樓授權第三方根據嚴格的利益衝突規則評估每家企業,費用由企業承擔。但其花費以及「 CMMC 第三方評估機構」(C3PAO)由誰承擔,洛德仍在與工業界團體商討。
從9月份的10個試點性招標書開始,越來越多的招標書將指定競標者在授標時必須達到的CMMC等級。理論上,企業今後可以在不遵守規定的情況下競標,但必須在選擇勝出者之前獲得認證,否則將失去資格。 未經認證的企業無法獲得合同。五角大樓官員無權給予任何企業網絡安全認證的通行證。
CMMC認證尤其會對小企業造成負擔,國防部將在不影響國家安全的前提下將影響降至最低。主承包商和工業界協會都在研究構建滿足各種CMMC等級的計算基礎架構,供分包商訪問,讓後者不必自己支付創建這些設施的費用。
網絡安全成熟模型認證時間表
三、執行時間表
洛德為執行CMMC認證計劃制定了詳細的時間表:
2019 年
● 4月:國防部官員開始每周就CMMC與國防協會舉行會議,並定期向國會匯報,尋求國會的反饋。
● 9~12月:國防部接收並審查了關於CMMC草案的「數千條公眾意見」。
2020年
● 4月:國防部官員開始每周就CMMC與國防協會舉行會議,並定期向國會匯報,尋求國會的反饋。
● 9~12月:國防部接收並審查了關於CMMC草案的「數千條公眾意見」。
● 1月:已邀請工業界、學術界和網絡安全領域的13位專家(其中一半具有小企業背景)組建CMMC「認證機構」。基本上這是一個由工業界資助的獨立、非營利委員會,負責監督第三方評估員的培訓和資格認證。國防部與委員會之間的詳細諒解備忘錄正在起草中。
● 3~4月:認證委員會的在線網站(企業將在此尋求CMMC認證)將聘請第三方認證企業,上線運行。
● 5~6月:五角大樓將在春末夏初完成正式的規則制定程序,並就如何落實CMMC認證推出新版《國防聯邦採辦條例》(DFAR)。
● 6月:國防採辦大學(DAU)將開始提供CMMC的在線課程,五角大樓將發布前10個探路合同的信息徵詢書,每個合同將影響大約150個承包商和分包商。其中部分合同僅要求CMMC I級,其他合同需要III級,小部分可能需要IV級甚至V級。
● 9月:五角大樓將根據信息徵詢書的反饋,發布10個合同的正式招標書。合同將在數周或數月後授出。
2020~2026年
在發布新的信息徵詢書和招標書之前,採辦副部長辦公室將觀察試點合同的運行情況,根據需要對CMMC流程進行調整。在六年中,隨著舊的合同完成和新合同簽發,所有合同都將轉移到新體系中。
四、優先項目
洛德表示,五角大樓將優先考慮最敏感和最重要的項目,特別是核武器、飛彈防禦項目,以及依據其他交易授權(OTA)、第804節中間層採辦、小企業創新研究計劃(SBIR)和其他精簡流程實施的一系列快速樣機項目。
來源:美國《防務快訊》/圖片來自網際網路
軍事科學院軍事科學信息研究中心 魏俊峰
編輯:張岸佳
如需轉載請註明出處:「國防科技要聞」(ID:CDSTIC)
註:原文來源網絡,文中觀點不代表本公眾號立場,相關建議僅供參考。