CMMC 评估员能力受到挤压,准备工作至关重要

随着 11 月 10 日迎来新一轮网络安全成熟度模型认证要求,第三方评估机构向寻求 2 级认证的国防承包商传达了一个直截了当的信息:做好准备。

来源:美国国防杂志新闻

CMMC 评估员能力受到挤压,准备工作至关重要

iStock 插图

随着 11 月 10 日迎来新一轮网络安全成熟度模型认证要求,第三方评估机构向寻求 2 级认证的国防承包商传达了一个直截了当的信息:做好准备。

虽然 1 级和某些 2 级合同允许自我评估,但获得 2 级认证通常需要 CMMC 第三方评估组织 (C3PAO) 提供的官方审查。网络安全公司的高管表示,公司可能会感到尽快在日历上进行正式评估的紧迫性,但必须确保提前做好准备。

国防网络安全集团创始人兼首席执行官文斯·斯科特 (Vince Scott) 表示,根据公司的复杂性和资源,达到 2 级可能需要一年或更长时间。

“即使是最长的旅程也从第一步开始,”斯科特在国防工业协会主办的一次小组讨论中说道。 “如果您还没有开始,您可能已经看到缺乏认证会影响您赢得合同的能力。您希望尽可能缩小这个窗口。”

Kieri Solutions 首席战略官 Logan Therrien 指出,国防部于 11 月生效的 CMMC 最终规则表示,最终预计大约有 118,000 个组织需要 2 级认证。相比之下,Therrien 最新估计的 2 级认证公司数量刚刚超过 1,100 家,这表明还有相当多的公司尚未完成这一过程。

C3PAO 可能会成为 2 级证书的瓶颈。例如,Kieri Solutions 每年最多可以进行约 250 次评估,“这并不会减少总数,”他在小组讨论中说道。

斯科特说,11 月 10 日这一日期的影响可能会通过国防供应链逐步显现出来,但不一定是一个硬性的最后期限。

主题:网络、国防部