五角大楼希望就修订后的网络安全成熟度模型认证计划提供反馈

美国国防部本周发布了一项拟议规则，并要求公众对网络安全成熟度模型认证（CMMC）计划提供反馈。

CMMC 计划旨在建立一个评估机制，以验证国防承包商和分包商是否已实施保护联邦合同信息 (FCI) 和受控非机密信息 (CUI) 所需的安全措施。

美国国防部目前要求承包商和分包商实施美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800–171 Rev 2 中详细说明的安全保护措施。

国防部合作伙伴需要“为在承包商信息系统上处理、存储或传输的敏感非机密国防部信息提供足够的安全性，并记录其实施状态”，CMMC 使五角大楼能够验证这些保护措施是否已实施并得到落实。在整个合同期内保持。

新发布的规则是对该计划某些方面的修订，符合 2020 年 9 月发布初始 CMMC 计划后收到的公众反馈。

据国防部称，此次修订允许对某些要求进行自我评估，以简化合规性，规定保护国防部信息的优先事项，并加强部门与行业之间的合作。

CMMC 计划要求进行三个级别的网络安全评估，从 FCI 的基本保护开始，到 2 级 CUI 的一般保护，以及针对 3 级高级持续威胁的更高防护。

“国防部估计，通过允许对 1 级和部分 2 级评估进行自我评估，并通过让国防工业基地网络安全评估中心 (DIBCAC) 的政府评估员进行这些评估，最大限度地降低 3 级评估的行业成本，总体计划成本将会降低，该部门表示。

五角大楼已开放CMMC征求公众意见，为期 60 天，并要求对八份 CMMC指导文件和新信息收集提供反馈。