详细内容或原文请订阅后点击阅览
网络安全成熟度模型认证计划最终规则发布
网络安全成熟度模型认证计划的最终计划规则已在 federalregister.gov 上发布,供公众查阅。
来源:美国国防部发行今天,发布网络安全成熟度模型认证(CMMC)计划的最终计划规则已发布在FederalRegister.gov上进行公众检查,并预计将于10月15日(星期二)发布在联邦登记册上。
CMMC的目的是验证国防承包商是否符合现有的联邦合同信息(FCI)和受控的未分类信息(CUI)的保护,并以与网络安全威胁的风险相称的水平来保护该信息,包括先进的持久威胁。
该规则通过将评估水平从原始程序中的五个减少到新计划下的三个,简化了中小型企业的流程。
该最终规则将该计划与联邦收购法规第52.204-21部分和国家标准技术研究所(NIST)特别出版物(SP)800-171 REV 2和-172中描述的网络安全要求保持一致。 它还清楚地确定了CMMC 3级认证规定的24个NIST SP 800-172要求。
随着此更新的32 CFR规则的出版,国防部将允许企业在适当时自我评估。 FCI的基本保护将需要在CMMC级别进行自我评估1. CUI的一般保护需要第三方评估或在CMMC级别进行自我评估2.较高的防御风险较高的保护措施将需要某些CUI的高级持续威胁。这种增强的保护将需要CMMC 3级的国防工业基础网络安全评估中心LED评估。
通过此修订后的CMMC计划,该部门还介绍了行动计划和里程碑(POA和MS)。 根据规则中概述的特定要求,将授予POA&MS,以允许企业在满足NIST标准的同时获得180天的有条件认证。
CMMC的好处包括:
dibnet.dod.mil https://dodcio.defense.gov/cmmc/