观点:行业应将 Y2K 经验教训应用到 CMMC 紧缩中

国防工业基地有大约 20 个月的时间来对大约 80,000 家承包商进行网络安全标准认证,而只有不到 100 个组织有权评估该标准。

来源:美国国防杂志新闻

观点:行业应将 Y2K 经验教训应用到 CMMC 紧缩中

iStock 插图

国防工业基地有大约 20 个月的时间来对大约 80,000 家承包商进行网络安全标准认证,而只有不到 100 个组织有权评估该标准。

对于那些在 20 世纪 90 年代末经历过金融服务业千年虫修复工作的人来说,这种动态感觉很熟悉。这项工作的经验教训也很常见,但其中大部分尚未得到应用。

网络安全成熟度模型认证计划(即 CMMC)将于 11 月 10 日进入第二实施阶段。从该日起,新的国防部招标将开始包括 2 级认证,作为涉及受控非机密信息的合同授予的条件。认证本身必须由经过认证的第三方评估机构出具。截至 3 月份,Cyber​​ AB Marketplace 列出了大约 97 个授权的 C3PAO。

增长一直稳定。到 2027 年底,该生态系统的授权组织可能达到 120 个,到 2028 年底则达到约 145 个。即使按照这些预测,评估能力仍远远低于该计划执行窗口内承包商的需求。

Y2K 是最接近早期行业动员的类比。金融服务公司面临着无法推迟的最后期限、修复范围大于最初估计的范围以及缺乏具备所需技能的工人。

然而,该行业还是按时完成了任务。这样做并不是因为底层数学得到了改进,而是因为它改变了解决问题的方式。

金融服务应对 Y2K 过程中发生的三件事在国防工业基地应对 CMMC 过程中尚未发生。

国防部、Cyber AB、主承包商和行业协会可以发挥他们尚未完全接受的作用。

主题:观点、产业基础