CMMC 第二阶段最后期限临近,顾问警告不要过度自信

顾问们表示,国防部网络安全成熟度模型认证计划的第二实施阶段即将到来,许多公司在毫无准备且过于自信的情况下争先恐后地争取最后期限。

来源:美国国防杂志新闻

CMMC 第二阶段最后期限临近,顾问警告不要过度自信

iStock 插图

顾问们表示,国防部网络安全成熟度模型认证计划的第二实施阶段即将到来,许多公司在毫无准备且过于自信的情况下争先恐后地争取最后期限。

该计划被称为 CMMC,是五角大楼用于验证承包商是否符合其网络安全要求的机制,由分阶段实施的不同级别组成。

据国防部首席信息官网站称,第一阶段于去年 11 月开始,主要涉及 CMMC 1 级,该阶段要求公司提交年度自我评估和年度合规确认书,证明他们正在对联邦合同信息进行“基本保护”。

Protiviti Government Services 董事总经理兼总裁 Perry Keating 将 1 级描述为“相当基本的卫生。这有点像刷牙”,涵盖了“很多人都会通过的 15 项基本控制措施”。

然而,2 级跳转到美国国家标准与技术研究所特别出版物 800-171 中概述的 110 项控制措施,以保护受控非机密信息 (CUI)。国防部估计约有 80,000 家公司将需要 2 级认证。

虽然某些 2 级合同允许自我评估,但大多数合同预计需要 CMMC 第三方评估组织 (C3PAO) 的认证 - 从 11 月 10 日起,五角大楼将开始在适用的情况下要求获得 2 级 C3PAO 认证。

许多公司将聘请网络安全专家和咨询公司来指导他们完成 2 级要求迷宫并为 C3PAO 审核做好准备。 Cyber​​Sheath 的首席执行官 Emil Sayegh 表示:“这就是我们所做的一切。”Cyber​​Sheath 是一家完全致力于帮助国防部承包商遵守 CMMC 的公司。

Jensen 也证实了 CUI 的斗争,并补充说外部顾问很有帮助。