详细内容或原文请订阅后点击阅览
评论:CMMC 暂停后安全领导者现在做什么
安全领导者应将这种暂停视为一种强制功能,以弥补自我评估所声称的内容与环境所展示的内容之间的实际差距,而不是允许放慢速度。
来源:美国国防杂志新闻CMMC 暂停后安全领导者现在做什么
iStock 插图
国防部于 7 月 13 日暂停了原定于 11 月生效的网络安全成熟度模型认证第二阶段。
数小时内,贸易报道将其视为国防工业基础的合规胜利。它不是一个。这是将风险从政府验证流程转移到每个安全领导者自己的签名上。
该部门自己的声明明确表示,暂停“并没有消除公司保护联邦数据的要求”。国防联邦采办条例补充条款 252.204-7012 仍然适用。美国国家标准与技术研究所特别出版物 800-171 的 110 项控制措施未更改。
过去位于自我证明的合规分数和联邦合同授予之间的独立检查已经消失。如果网络安全工作者为国防承包商或分包商负责安全工作,那么这种变化应该会提高他们的担忧程度,而不是降低。
国防部首席信息官 Kirsten Davies 解释了这一决定——超过 100,000 家公司需要经过认证的第三方评估机构(也称为 C3PAO)进行第三方评估,而其中只有大约 100 家公司能够进行评估。这个比例并不是一朝一夕形成的。自该计划于 2021 年重新启动以来,通过 CMMC 认证机构对 C3PAO 进行培训和认证已经是一个多年的过程,而且评估员渠道从未扩大到与其要认证的人口相匹配。
当最有能力预见到这一情况的实体坦率地承认数学不起作用时,这是一个结构性信号,而不是调度问题。
针对 NIST SP 800-171 的自我评估一直持续进行。变化在于,未经独立检查而提交的自我证明分数不再是初步声明,而是整个案件。
主题:工业基础、网络
