详细内容或原文请订阅后点击阅览
国防部和国会应该放弃 CMMC
在这篇专栏文章中,美国企业研究所的 William Greenwalt 阐述了国防部和国会应该放弃 CMMC 2.0 的原因。
来源:美国防务快讯网五角大楼锁定安全防御概念图(Getty Images)
经过长时间的延迟,据报道,美国国防部的网络安全成熟度模型认证 (CMMC) 2.0 有望在明年第一季度发布——正好赶上可能的新政府对其进行审查。然而,值得考虑的是,CMMC 2.0 是否需要面世。
延迟 网络安全成熟度模型认证 (CMMC) 2.0 明年第一季度目前看来,CMMC 2.0 可能永远无法实现。CMMC 合规生态系统的兴起——包括评估组织、顾问、解释者、文章和教程,所有这些都试图从新系统中获利——让 CMMC 2.0 看起来就像是一条畅通无阻的实施之路。但是,用空军部长弗兰克·肯德尔 (Frank Kendall) 重返政府之前的话来说,“让我们在这个官僚怪物变得更大之前杀死它。”
合规生态系统 字尽管 CMMC 的根本目标是改善网络卫生,但合规成本、不断变化的定义和标准以及对抗关系等问题都威胁着这种承包商网络安全机制的可行性。 考虑到这些问题和其他问题,国会最好进行干预,国防部最好改变方向,让 CMMC 2.0 在监管框架下枯萎和死亡。
CMMC 2.0 存在许多问题。 首先,它试图针对不断发展的问题强加一个基本静态的网络安全架构。 整个国防工业基地对承包商信息的威胁不断变化,因为不良行为者试图利用公司网络安全中的漏洞和弱点。 CMMC 主要通过对网络安全要求采取勾选即答的心态来应对这些不断变化的威胁,冻结保护信息的方法,直到发布修订版本。
网络安全要求 每年 40 亿美元 外部评估 注意到