详细内容或原文请订阅后点击阅览
网络安全成熟度模型认证计划最终发布
发布网络安全成熟度模型认证计划的最终计划规则已发布,以供联邦政府进行公众检查。
来源:美国国防部发行今天,网络安全成熟度模型认证 (CMMC) 计划的最终计划规则在 Federalregister.gov 上发布,供公众查阅,预计将于 10 月 15 日星期二在《联邦公报》上发布。
CMMC 的目的是验证国防承包商是否遵守对联邦合同信息 (FCI) 和受控非机密信息 (CUI) 的现有保护,并在与网络安全威胁(包括高级持续威胁)风险相称的水平上保护这些信息。
该规则通过将评估级别的数量从原计划中的五个减少到新计划下的三个,简化了中小企业的流程。
此最终规则使该计划与联邦采购法规第 52.204-21 部分以及美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-171 Rev 2 和 -172 中描述的网络安全要求保持一致。 它还明确规定了 CMMC 3 级认证强制执行的 24 NIST SP 800-172 要求。
随着更新的 32 CFR 规则的发布,国防部将允许企业在适当的时候自我评估其合规性。 FCI 的基本保护将需要 CMMC 1 级的自我评估。CUI 的一般保护将需要第三方评估或 CMMC 2 级的自我评估。某些 CUI 需要针对高级持续威胁的风险提供更高级别的保护。这种增强的保护将需要国防工业基地网络安全评估中心主导的 CMMC 3 级评估。
通过修订后的 CMMC 计划,该部门还引入了行动计划和里程碑 (POA&M)。 POA&M 将根据规则中概述的特定要求授予,以允许企业在努力满足 NIST 标准的同时获得 180 天的有条件认证。
CMMC 的优势包括:
dibnet.dod.mil https://dodcio.defense.gov/CMMC/