国防部在某些合同投标中要求网络安全认证

0
760
一架F-35A Lightning II联合打击战斗机于2019年11月16日返回西南亚基地。未来,参与开发F-35等系统的国防承包商将需要证明其公司的网络安全计划符合国防部的要求部门标准。 (空军摄影:Joshua Williams中士)
广告

到9月底,国防部将要求至少一些竞标国防合同的公司证明其至少达到了基本水平。 网络安全标准 在回应提案请求时。

国防部于1月31日发布了新的网络安全成熟度模型认证,由国防部副部长计费 获取与维持 as “Version 1.0.”

五角大楼在宣布认证工作的五角大楼新闻发布会上说,到6月,该部门计划发布多达10项有关包括CMMC要求的合同信息的请求。她说,到9月,该部门还将发布包括这些要求在内的相应提案要求。洛德说,到2026财年,所有新的DOD合同都将包含CMMC要求。

“我认为,明确说明对网络安全的期望是什么,我们的指标是什么以及我们将如何审核这些期望,这是绝对至关重要的,” Lord said. “CMMC是国防部整体网络安全实施的关键要素。”

国防部副部长艾伦·M·洛德(Ellen M. Lord)国防部助理部长凯文·法赫(Kevin Fahey); 2020年1月31日,国防部长助理国防部长凯蒂·阿灵顿(Katie Arrington)向美国国防部简要介绍了五角大楼政府并购的网络安全标准。

洛德说,网络安全风险威胁着国防工业和美国政府及其盟友和合作伙伴的国家安全。她指出,每年因网络盗窃造成的损失约为6000亿美元,占全球国内生产总值的1%。

“对手知道今天’在大国竞争环境中,信息和技术都是关键基石,” she said. “攻击次级供应商远比主要供应商更具吸引力。”

CMMC为国防部提供了一种机制,以认证最大的国防承包商的网络就绪状态-那些赢得合同的高层承包商“primes” — as well as the smaller businesses that subcontract with the 素数.

新的CMMC在网络安全实践和流程中提供了五级认证。

“Something …1级简单‘贵公司有防病毒软件吗?您要更新防病毒软件吗?您要更新密码吗?”国防部的凯蒂·阿灵顿(Katie Arrington)说’负责收购的首席信息安全官。“CMMC 1级是我们每天应该做的基本网络卫生技能。他们在那里是为了保护自己,您的公司和您自己的信息。”

Arrington说,在CMMC 2级中,该部门还将开始研究网络安全流程,以确保不仅实施网络安全,而且要确保公司在整个企业范围内有效地记录,管理,审查和优化其实践。

阿灵顿说,对于国防部预计将在今年晚些时候发布的大约10项信息请求和建议书,潜在的合同,她预计将需要CMMC认证水平的混合。

“We’会有一些CMMC 3级,CMMC 1级,并且可能有1或2个4级或5级CMMC淘汰,” Arrington said.

该部门将不会自行为CMMC认证潜在的国防承包商。相反,洛德解释说,一系列CMMC“第三方评估机构”或C3PAO,将进行这些评估。洛德说,C3PAOs也不会由部门支付。“That’之间的私人交易 工业基地公司 和认证机构的” she added.

洛德说,还没有指定C3PAO来进行评估,并指出尽管有多家公司对此感兴趣,但国防部尚未指定谁是合格的。

洛德说,新成立的由13名成员组成的CMMC认证机构将由国防工业基地,网络安全社区和学术界的成员组成,将监督C3PAO的培训,质量和管理。

加利福尼亚州彭德尔顿营的海军陆战队于2019年9月6日收到了新型联合轻型战术车。今后,参与开发此类系统的国防承包商将需要证明其公司的网络安全计划符合国防部的标准。 (海军陆战队照片由约瑟夫·普拉多中士拍摄)

她说,与此同时,该部门正在起草国防部与CMMC认证机构之间的备忘录,以概述其作用,职责和规则。她说,关注的领域之一是确保认证不涉及任何利益冲突。例如,C3PAO将无法为其CMMC认证。

Arrington说,与部门的现有合同都不会插入CMMC要求。

阿灵顿说,总承包商的分包商不一定都需要具有相同水平的CMMC认证才能赢得合同。

“安全性不是万能的,”她补充说。她说,取而代之的是,根据合同中涉及的各方之间未分类信息的控制方式,分包商可能只需要是CMMC 1级公司。

阿灵顿说,CMMC将确保为竞标国防部合同的公司提供一个更公平和公平的竞争环境。她说,今天,一些竞标工作的小型企业可能会自我证明它们满足处理某些类型信息的要求,但实际上只是在计划满足这些要求,而另一家企业实际上可能正在满足要求。她说,CMMC将确保只有真正满足要求的公司才能竞争合同。

“We need to make sure 我们的行业合作伙伴准备承担这项工作,我们的第三方审核员将确保他们正在实施为确保国防和工业基础而需要采取的实践,” Arrington said.

Lord said the department is aware that CMMC requirements could be a burden to some smaller companies and that DOD is working with 素数 and smaller companies to help them overcome that burden.

“We need 中小型企业 在我们的工业基础上,我们需要保留它们,” she said. “我们将继续努力使影响减至最小,但不以国家安全为代价。”
 
 
 

获取最新的航天新闻发送到您的收件箱!我们从不垃圾邮件

选择要订阅的列表


By submitting this form, you are consenting to receive marketing emails from: 航空技术新闻and Review, 220 E. Ave. K-4, Lancaster, CA, 93535, http://www.hrl1875.com. You can revoke your consent to receive emails at any time by using the SafeUnsubscribe® link, found at the bottom of every email. 电子邮件由持续联系服务

广告