详细内容或原文请订阅后点击阅览
CMMC 可能会暂停,但网络安全审计可能会回归:行业、专家
CMMC 第二阶段的暂停“不应该让任何人感到震惊”,被认为是 CMMC 创始人的凯蒂·阿灵顿 (Katie Arrington) 表示。但是,她说,最终五角大楼可能会回到现在的状态,意识到“确实没有其他方法可以让人们遵守”。
来源:美国防务快讯网华盛顿——据行业官员和专家称,尽管国防部承包商项目的第三方审计暂停,但五角大楼可能不得不恢复某种审查制度,以确保没有未上锁的虚拟大门可供对手黑客通过。
美国国防部和小企业管理局的领导人周一宣布,他们将暂停网络安全成熟度模型认证 (CMMC) 计划的第二阶段,该计划要求与国防部合作的公司接受第三方评估,以确保其符合网络安全标准。
CMMC 不制定标准;这些来自 NIST SP 800-171 Rev 2,其中概述了保护受控非机密信息 (CUI) 的 110 项网络安全要求。相反,CMMC 的重点是确保任何投标某种能力的承包商都遵守上述标准。
在暂停期间,五角大楼表示将继续通过自我评估来执行基线网络安全合规性,该部门表示,自我评估将重点关注有形的网络卫生,而不是管理费用。
CMMC 第二阶段的暂停“不应该让任何人感到震惊”,被认为是 CMMC 创始人的凯蒂·阿灵顿 (Katie Arrington) 表示。但是,她在 LinkedIn 上发布的一段视频中表示,最终五角大楼可能会回到现在的状态,意识到“确实没有其他方法可以让人们遵守规定”。
专家和行业人士一致认为,即使 CMMC 的暂停本身并没有降低网络安全预期,但它确实在该部门如何让承包商遵守这些标准方面留下了空白。
如果没有某种类型的第三方验证机制,A-LIGN 首席 CMMC 认证评估师 Michael Brooks 表示,五角大楼被迫更加依赖承包商的承诺。
