对国防承包商的严格合规要求即将生效

来源 chaylek / Shutterstock

关键要点

美国国防部的新规要求承包商和分包商实施信息安全措施，并于2023年12月底生效。该规章涉及网络安全成熟度模型认证CMMC项目，确保承包商遵守针对联邦合同信息和受控非机密信息的现有保护措施。CMMC项目引入年度确认要求和针对特定要求的行动计划与里程碑POAampM，尽管承包商对其在新规下的合规能力表示担忧。

根据美国国防部的公告，一项新规将要求承包商和分包商实施联邦政府所要求的信息安全措施，并计划在2023年12月底正式生效。这项规章适用于国防部的网络安全成熟度模型认证CMMC项目，旨在验证国防承包商是否遵守对联邦合同信息FCI和受控非机密信息CUI的现有保护措施，同时确保这些信息的保护水平与网络安全威胁包括高级持续威胁相匹配。

国防部指出，CMMC项目为追责那些故意虚报网络安全实践或故意违反监控和报告网络安全事件及违规行为的实体或个人提供了工具。曾因对供应商的监督薄弱受到指责，国防部主要依赖于其供应商的安全自我评估。

在2023年12月发布的一份报告中，监察长罗伯特P斯多奇提到，其机构从2018年至2023年发布了五份报告，始终发现国防部合同官员未能建立流程，以验证承包商是否符合国家标准与技术研究院NIST所要求的受控非机密信息的选定联邦网络安全要求。

新规未减轻合规压力

新规中，CMMC项目实施了一项年度确认要求，这是监控和强化公司网络安全状态问责的重要元素。同时引入的项目计划与里程碑POAampM旨在针对规章中列出的特定要求，为企业在努力达到NIST标准的同时，获得最长180天的有条件认证。

尽管引入了POAampM，承包商对能否在规定的时间内遵守新规的要求表示担忧。法律事务所Rogers Joseph O’Donnell的网络安全业务主席罗伯特梅茨格表示：“如果有人希望减轻压力，我认为并没有。”

“事情可以稍微延后一点，”他补充说。“显而易见的是，最早到2025年第一季度，甚至可能在第二季度，才会要求各方进行认证评估。”

海外网络免费加速器

不过，他提醒道：“同样明确的是，国防部仍然期望希望与其开展业务的公司满足NIST 特殊出版物SB 800171REV2中列出的所有110项要求。该出版物设置了旨在保护非联邦系统和组织中的受控非机密信息的安全要求。”

国防部被敦促采取更灵活的政策

他进一步表示：“许多人都敦促国防部采取更灵活的方法，他们希望国防部允许较低的最低分数以便于POAampM的实施。基本上，国防部表示，评估时必须通过110项要求中的80才能进行POAampM。如果达不到80，则不符合在六个月内完成的POAampM资格。”

“即便如此，在这110项要求中，还有大约45项最重要的网络安全要求，国防部已表示必须在首次评估中达标，否则将不允许其获得POAampM，以弥补，即便整体得分为80。”

承包商被鼓励提前进行评估

根据Cherry Bekaert会计咨询公司的信息保障与网络安全高级经理布莱恩