美国国防部最近发布了其网络安全成熟度模型认证计划的新拟议规则,规定了国防承包商和分包商的具体安全要求,并重新提出了关于底线安全和监管负担之间平衡的问题。
新规则于2023年12月26日发布,此前五角大楼于2019年11月宣布了CMMC 2.0,这是网络认证计划的增强版,旨在通过授权加强国防工业基地的网络安全。
五角大楼表示,拟议规则修订了CMMC的部分内容,以解决公众对该计划初始版本的担忧。
现在,该计划将允许对一些要求进行自我评估,“保护国防部信息的优先事项”和“加强国防部和行业在应对不断变化的威胁方面的合作”。
在最基本的层面上,在CMMC 2.0下,能够访问受控非机密信息(CUI)的国防承包商和分包商将被要求针对一组日益先进的能力证明其网络安全计划的“成熟度”。
CMMC 2.0包括一个三级规模,承包商必须通过该规模实施网络安全标准。
拟议规则重申,美国国防部将要求处理CUI的公司遵守国家标准与技术研究所(NIST)特别出版物(SP)800-171制定的控制。
监管网站发布了三份文件,对网络安全成熟度模型认证计划的介绍有81页,内容非常详细,当然也非常繁琐。
数字孪生战场实验室认为,对CMMC 2.0的新监管要求,意味着中小企业必须接受这些繁琐要求,会增加这些企业的运行成本,或者,会吓退不少中小企业为美国国防部提供服务。
而且,据安全顾问公司的专家称,无论CMMC 2.0如何实施,其标准可能不仅需要扩展到美国承包商和分包商,还需要扩展到国防公司以及与美国公司开展业务往来的全球其他实体。
公司必须在2月26日之前提交评论,最终规则本身可能要到2025年初才会生效。
工业4.0创新平台 版权所有 All Rights Reserved, Copyright© 2013- 京ICP备14017844号-3
评论