美军新规：强推联邦承包商网络安全

美国国防部发布CMMC最终规则，推动联邦承包商网络安全

美国国防部（DoD）近日发布了《联邦合同管理委员会措施》（CMMC）最终规则，标志着该计划自2020年首次提出以来的漫长规则制定过程终于告一段落。这份最终规则将逐步实施，从2025年11月10日开始，旨在加强联邦承包商的网络安全防护能力。

新规定明确定义了“CMMC唯一标识符”等关键术语，并对“联邦合同信息”、“行动计划和里程碑”（POA&M）以及“CMMC状态”等概念进行了详细解释，旨在确保一致性并帮助承包官准确评估合规性。

对政府承包商的影响:

• 应继续准备进行至少级别1和2评估控制的自评估，并考虑是否安排与认证评估组织的审核以满足级别2第三方认证要求。

• DoD保留在各个阶段提前包含特定CMMC级别要求的权利。某些项目可能在阶段2和3开始之前就需要执行级别2和3评估要求。

• 承包商应仔细审查合同修改或选项行使文件，确保他们了解其义务，包括在SPRS中持续合规性的确认。

• 承包商应注意招标文件中包含的任何CMMC要求，因为缺乏适当的CMMC级别状态将导致公司无法获得合同。

• 对于收到联邦合同信息（FCI）和/或受控未公开信息（CUI）的 subcontractors，也必须遵守相应的CMMC下级要求。

• 首要承包商有责任确定与其子承包商共享的信息以及确保在授予子承包商之前，子承包商符合相关CMMC要求。

挑战:

• CMMC要求的挑战可能需要在提交提案之前提出。未及时提出挑战可能会损害公司的利益。
• 子承包商必须遵守CMMC下级要求，并与主要承包商保持密切合作。

CMMC最终规则发布标志着美国国防部加强联邦承包商网络安全防护措施的坚定决心。

阅读本文之前，你最好先了解...

尽管CMMC最终规则发布为联邦承包商提供了清晰的指导方向，但其实施仍面临一些挑战。为了更好地理解该规则的影响以及如何应对这些挑战，阅读本文之前，你最好先了解以下关键信息：

• CMMC的不同级别: CMMC分为五个级别（1-5），每个级别对网络安全要求都有所不同。承包商需要根据他们处理的敏感信息的类型和数量来确定所需的CMMC级别。
• 认证评估组织（AO）： 这些是经过授权的第三方机构，负责对承包商进行CMMC合规性评估。选择合适的AO至关重要，因为它将直接影响到CMMC状态的获取以及能否获得联邦合同。
• SPRS: 这是“供应商关系管理系统”，用于跟踪和管理供应商的CMMC状态。

一些额外的背景信息可以帮助你更好地理解 CMCC规则：

• CMMC规则旨在应对不断升级的网络威胁，并保护美国国防部的敏感信息安全。
• 该规则将逐步实施，以给承包商更多时间准备和适应。
• DoD会提供多种资源和支持，帮助承包商了解并遵守 CMCC 要求。

总结来说，理解CMMC的不同级别、认证评估组织以及SPRS等关键概念对于联邦承包商而言至关重要。 通过深入了解这些信息，您可以更好地应对CMMC规则的挑战，并确保其业务安全和合规性。

如果你有其它意见，请评论留言。