CMMC新规生效：国防部加强供应商信息安全管控

国防部加强对供应商信息安全管控：CMMC新规定即将生效

为提升联邦政府承包商的信息安全保障水平，美国国防部（DoD）发布了新的《与国防部的合同相关安全要求》 (CMMC) 规定，并将此规则应用于几乎所有涉及 DoD 的采购项目。 这其中包含对商业产品或服务的收购，以及低于简化采购门槛的采购项目，但排除那些完全符合联邦采购法（FAR）定义“现成商品”（COTS）采购项下的项目。

新规定重点强调信息安全控制措施的持续实施和有效性验证。承包商必须在合同签订前获得CMMC认证或进行自评估，并通过系统计划管理平台（SPRS）向国防部提交相关信息，包括受 CMCC 约束的信息系统的UID 和任何变更。此外，承包商还需定期在 SPRS 上更新自评估结果和持续合规确认函。

新规定亮点：

• 广泛适用性: CMMC 将适用于几乎所有 DoD 采购项目，包括商业产品或服务，以及低于简化采购门槛的项目。
• 信息安全控制措施要求: 承包商必须满足至少 15 个基本安全控制措施的要求，并在合同执行过程中持续保持合规状态。
• 透明度和追溯性: 所有 CMCC 信息需通过 SPRS 平台提交并公开，确保信息安全控制措施的透明度和追溯性。
• 责任界定: 承包商对自身系统安全负责，而主要承包商则需要对子承包商的合规情况进行验证。

重要提示：

• CMMC 规定适用于所有处理联邦政府合同信息（FCI）或受控未分类信息（CUI）的系统。
• CMMC 认证或自评估必须在合同签订前完成。

新规定旨在加强 DoD 对承包商信息安全控制措施的监管，确保国防关键信息的安全性。 各承包商应及时关注相关更新并做好充分准备，以确保遵守新规定。

阅读本文之前，你最好先了解…

• 什么是 CMMC？ CMMC 全称是 Cybersecurity Maturity Model Certification（信息安全成熟度模型认证），它是一种基于风险的评估框架，旨在为联邦政府承包商提供指导和标准，帮助他们提升信息安全能力。
• CMMC 的等级划分: CMMC 将信息安全控制措施分为五个等级 (Level 1 到 Level 5)，等级越高表示安全控制措施越完善。

新规定对承包商的影响

CMMC 新规定将对所有参与 DoD 采购项目的承包商产生重大影响，包括：

• 成本增加: 获得 CMMC 认证或进行自评估需要投入时间和资金，这将增加承包商的成本负担。
• 合规压力: 承包商需要满足 CMMC 的要求并持续保持合规状态，这将带来额外的管理和运营挑战。
• 竞争优势: 获得 CMMC 认证可以成为承包商赢得 DoD 合同的竞争优势，因为它表明他们具备良好的信息安全能力。

如何准备迎接新规定？

为了更好地应对 CMMC 新规定，承包商需要采取以下行动：

1. 了解 CMMC 的要求: 深入研究 CMMC 框架和标准，明确自己的责任和义务。
2. 评估现有安全措施: 对现有的信息安全控制措施进行评估，找出差距并制定改进计划。
3. 寻求专业帮助: 如果需要，可以咨询专业的安全服务供应商，获得指导和支持。
4. 培养安全意识: 加强员工的安全意识培训，提高他们的安全责任意识和行为规范。

总结

CMMC 新规定旨在提升 DoD 采购项目的信息安全水平，保障国防关键信息的安全性。承包商应认真对待新规定，及时做好准备，才能在新的环境下持续发展壮大。

如果你有其它意见，请评论留言。