详细内容或原文请订阅后点击阅览
国防承包商网络安全:国防部应解决可能阻碍计划实施的外部因素
GAO 的发现国防部 (DOD) 于 2020 年制定了网络安全成熟度模型认证 (CMMC) 计划,以确保国防工业基础 (DIB) 公司符合网络安全要求。为了回应对该计划初始框架复杂性的担忧,国防部于 2024 年简化了要求并修订了计划实施计划。国防部计划在未来 3 年内实施该计划。尽管国防部没有在单一文件中记录 CMMC 计划的战略计划,但它已经制定了多个计划文件来指导实施。 GAO 发现,国防部的实施计划解决了综合战略七个关键要素中的六个,如下图所示。截至 2025 年 9 月,国防部的 CMMC 计划推出计划解决了综合战略的关键要素,国防部部分解决了与确定可能影响该计划实现其目标的能力的关键外部因素相关的要素。尽管国防部已采取措施制定应对计划风险的策略,但尚未系统地评估和记录可能影响该部门实现其目标的外部因素。例如,该部门依靠私营部门利益相关者对 DIB 公司进行评估,以确定它们是否符合该计划的要求。然而,国防部没有评估和记录其打算如何减轻私营部门能力不足以满足需求的风险
来源:美国政府问责局__信息安全信息GAO 发现了什么
国防部 (DOD) 于 2020 年建立了网络安全成熟度模型认证 (CMMC) 计划,以确保国防工业基础 (DIB) 公司符合网络安全要求。为了回应对该计划初始框架复杂性的担忧,国防部于 2024 年简化了要求并修订了计划实施计划。
国防部计划在未来 3 年内实施该计划。尽管国防部没有在单一文件中记录 CMMC 计划的战略计划,但它已经制定了多个计划文件来指导实施。 GAO 发现,国防部的实施计划解决了综合战略七个关键要素中的六个,如下图所示。
截至 2025 年 9 月,国防部的 CMMC 计划推出计划在多大程度上解决了综合战略的关键要素
国防部部分解决了与确定可能影响项目实现其目标的能力的关键外部因素相关的要素。尽管国防部已采取措施制定应对计划风险的策略,但尚未系统地评估和记录可能影响该部门实现其目标的外部因素。例如,该部门依靠私营部门利益相关者对 DIB 公司进行评估,以确定它们是否符合该计划的要求。然而,据国防部官员称,国防部没有评估和记录其打算如何减轻私营部门能力不足以满足其评估需求的风险。
GAO 为何进行这项研究
国防部依赖数十万家私营公司提供从武器系统到维护的商品和服务。在与国防部开展业务时,这些公司经常在其计算机系统中使用和存储敏感信息。恶意网络攻击者以国防承包商的网络和系统为目标,以访问敏感的国防部数据。