文章目录
前言
美国防部2023年12月26日发布网络安全成熟度模型认证(CMMC)计划拟议规则,该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构,将对美国防工业基础超过20万家公司的网络安全合规性产生重大影响。
一、网络安全成熟度模型认证(CMMC)的规则
美国防部2023年底发布了期待已久的网络安全成熟度模型认证(CMMC)计划拟议规则。作为保护国防工业基础(DIB)免受不断演变的安全威胁的一种手段,该计划最初由美国防部2019年提出。承包商信息系统是重点,CMMC的目的是通过要求实施与风险相称的特定安全保护,并从自我证明模型转变为需要第三方验证涉及敏感、非机密信息的某些合同的安全措施实施情况的模型,来增强网络安全合规性。CMMC临时规则于2020年11月30日生效。随着美国防部宣布CMMC2.0,该临时规则于2021年11月提出了重大修订。
美国防部首席信息官(CIO)办公室于2023年12月26日发布了最新的CMMC拟议规则。该拟议规则在很大程度上实施了此前宣布的CMMC2.0结构,并具有一些附加功能和要求。在提出CMMC拟议规则的同时,美国防部还为CMMC计划提供了8份额外的指导文件,涵盖CMMC模型、评估、范围界定等方面。
(一)确定了网络安全要求的分层模型,
要求承包商根据信息的敏感性实施三级网络安全标准。其中,第1级针对涉及联邦合同信息(FCI)的合同,要求承包商必须遵守《美国联邦采购法规(FAR)》52.204-21规定的15项安全要求;第2级适用于涉及受控非机密信息(CUI)的合同,承包商除需遵守第1级要求外,还必须遵守《美国国家标准与技术研究所特别出版物800-171修订版2》中规定的110项安全要求;第3级旨在增强CUI抵御高级持续威胁(APT)的保护,承包商除在第2级基础上,还需遵守《美国国家标准与技术研究所特别出版物800-172》中选定的24项安全要求。
(二)评估和确认要求
第1级要求承包商和适用的分包商每年进行1次自我评估,通过美国防部供应商绩效风险系统(SPRS)提交结果,并由高级官员在评估后以及此后每年确认持续遵守安全要求。
第2级要求承包商和适用的分包商每3年期进行1次自我评估或第三方评估,通过SPRS提交结果,并由高级官员在评估后以及此后每年确认持续遵守安全要求;
第3级要求承包商和适用的分包商每3年期进行1次由国防合同管理机构(DCMA)国防工业基础网络安全评估中心(DIBCAC)进行的评估和认证,通过SPRS提交结果,并由高级官员在评估后以及此后每年确认持续遵守安全要求。
(三)范围界定
第1级要求将所有处理、存储或传输FCI的资产纳入评估范围;第2级在第1级基础上,纳入了为相关资产提供安全保护的所有资产,并对“承包商风险管理资产”实施有限检查;第3级在第2级的基础上,纳入了“专用资产”,即“可以处理、存储或传输C