國(guó)防部副部長(zhǎng)負(fù)責(zé)采購(gòu)和維持的CISOKatie Arrington表示：“這是國(guó)防部新的一天的開始，正如我們多年來(lái)一直在說(shuō)的那樣，網(wǎng)絡(luò)安全是并購(gòu)的基礎(chǔ)，我們是認(rèn)真的。”

Katie Arrington談到了即將實(shí)施的網(wǎng)絡(luò)安全成熟度模型認(rèn)證。事實(shí)上，隨著新一代網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)所授權(quán)的15份合同的截止日期臨近，五角大樓方面明確表示，這僅僅是個(gè)開始，未來(lái)至少對(duì)1500家承包商及分包商進(jìn)行網(wǎng)絡(luò)安全成熟度認(rèn)證。

“信任(承包商)，但也要驗(yàn)證。”

相關(guān)規(guī)則將于今年12月1日起對(duì)新的合同正式生效。而這么做的原因是考慮到針對(duì)美國(guó)安全薄弱點(diǎn)的對(duì)手會(huì)試圖攻擊商業(yè)和軍事網(wǎng)絡(luò)，以竊取機(jī)密。而接下來(lái)國(guó)防部將強(qiáng)制推行的新的網(wǎng)絡(luò)安全合同規(guī)則，會(huì)確保整個(gè)員工隊(duì)伍建立能力基準(zhǔn)，同時(shí)嚴(yán)格遵守美國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)與國(guó)防部相關(guān)標(biāo)準(zhǔn)。因此，Katie Arrington認(rèn)為，這一舉措對(duì)于美國(guó)的商業(yè)，國(guó)家安全至關(guān)重要。

后續(xù)，她和團(tuán)隊(duì)還將繼續(xù)推進(jìn)，并在數(shù)天內(nèi)完成過(guò)渡，直到臨時(shí)規(guī)則生效。一旦臨時(shí)規(guī)則制定，就會(huì)密切籌備作為試點(diǎn)的15份合同。這15份合同將開始向承包商之間新的、可核查的網(wǎng)絡(luò)安全轉(zhuǎn)變。預(yù)計(jì)至少1500個(gè)承包商和分包商參與項(xiàng)目，且全部需要獲得網(wǎng)絡(luò)安全認(rèn)證。

這些合同將散布在各個(gè)服務(wù)部門，比如美國(guó)運(yùn)輸司令部、網(wǎng)絡(luò)司令部，涉及導(dǎo)彈防御局等所謂“第四等級(jí)”機(jī)構(gòu)。合同的數(shù)額與復(fù)雜程度有所不同，認(rèn)證工作計(jì)劃在2021財(cái)年內(nèi)進(jìn)行。

值得注意的是，只要一家企業(yè)能夠符合部分110 NIST標(biāo)準(zhǔn)條款，并宣稱將致力于遵守其余條款，即可參與競(jìng)標(biāo)。簡(jiǎn)答來(lái)說(shuō)，就是在競(jìng)爭(zhēng)國(guó)防部合同時(shí)，并不需要完全證明全部的合規(guī)性。

Arrinton指出，“CMMC設(shè)定了明確的標(biāo)準(zhǔn)。審計(jì)后，企業(yè)要么處于L1級(jí)，要么不符合要求。”在客觀上滿足安全能力要求的企業(yè)將擁有公平的競(jìng)爭(zhēng)起點(diǎn)，而五角大樓也可以將安全成本直接納入合同，不必?fù)?dān)心引入與合規(guī)性要求相沖突的供應(yīng)商。

對(duì)于合規(guī)性標(biāo)準(zhǔn)較高的重要合同，CMMC規(guī)則還要求合同內(nèi)容明確指定各分包商是否需要達(dá)到相同的合規(guī)性水平，或者會(huì)根據(jù)不同分包商所觸及信息的實(shí)際敏感度為其指定更確切的具體合規(guī)性要求。

建立在認(rèn)證基礎(chǔ)之上的全新網(wǎng)絡(luò)安全機(jī)制，意味著五角大樓終于可以擺脫那些難以解決漏洞修復(fù)問(wèn)題的公司，降低了供應(yīng)鏈安全隱患。

參考來(lái)源：breakingdefense