权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
新网络安全成熟度模型认证(CMMC)培训与认证变更保持一致
2022-01-06

[美国下一届政府网202215日报道] 国防部的统一网络安全计划为承包商在2021重新启动,改进简化了许多流程。仍有可能进行进一步的改进,但预计2022年会是培训实体重新调整的一年,培训实体负责为最终评估国防承包商网络适应性的个人提供所需的教育。

网络安全成熟度模型认证(CMMC)项目认证机构负责培训和开发的副总裁凯尔·金里奇接受《金融时报》采访时表示,CMMC 1.0随着时间的推移,在开发和大量生产评估员时会产生能力问题。现在有了新版本,认证机构正与其合作伙伴合作开发新的测试和课程,以适应这些变化。

一个关键的转变是CMMC将一级认证(旨在涵盖基本网络卫生)转变为自我认证,而无需进行外部评估。

项目认证管理机构原计划上个月推出测试版的评估考试,现在正在制定指导方案,然后由授权合作伙伴和出版商用于开发培训课程和材料,但仍在等待国防部关于如何管理CMMC 1级和CMMC 2级(如适用)自我认证的文件和指示。

金里奇去年12月接受《金融时报》采访时表示:“目前,项目认证管理机构只发布了范围界定文件和内部文件,评估指南待发布,这些指南将涉及1级和2级。尚不知道这些指南中包含哪些内容。因此,我们不知道这些内容将涉及什么,我们不知道它是否会涉及行动计划和里程碑,如果它将与补救措施对话。

国防部的这些文件与认证机构的CMMC评估过程文件相结合,将有助于重新定义开发课程所需的目标,并提供免费的在线增量培训,填补CMMC 1.02.0培训之间的空白。

项目评估管理中心首席执行官马特·特拉维斯(Matt Travis)在1220日的一次市政厅会议上说,目前,认证的第三方评估机构只能获得评估流程文件的草稿。特拉维斯说,国防部仍需签署该协议,但一旦最终确定,该协议将公开发布,预计该协议将于1月份获得批准。

因为目标被用作评估者培训的基础,那些在CMMC1.0下开发的人是无效的,金里奇说,所以有一个重点是提供免费的在线“增量培训”给先前认证的专业人员和CMMC2.0的认证人员。

金里奇说,虽然新模式下不要求进行CMMC 1级评估,但除了自我认证之外,行业还需要进行CMMC 1级评估,特别是对于使用分包商的大型国防公司。

金里奇说:“有些公司可能希望让其分包商接受某种培训和验证,以确保在聘用他们时,他们了解作为评估员所需的严格程度以及如何正确地进行评估,而不仅仅是依靠自证。

“很明显这不是国防部规定的,而是在行业中听到的。如果你要代表我们作为一个组织,希望确保你已经做了适当的尽职调查。”

国防部CMMC政策主管斯泰西·博斯特贾尼克,通过电子邮件告诉《金融时报》,只需进行自我评估的公司,其文件将通过在国防部供应商绩效风险系统中的提交和公司高级官员的认证进行验证。我们正在努力尽快发布指南。

博斯特贾尼克说,国防部还正在准备最终文件,这些文件需要领导批准,证明寻求CMMC认证的公司如何通过行动计划和里程碑开展工作,未来几个月的主要目标是通过规则制定活动开展工作没有给出具体的日期或时间框架。

金里奇希望认证机构在CMMC目标和指导方面完全清晰,在第一季度末消除版本1.02.0之间的差异,以及新的考试日期。(国家工业信息安全发展研究中心 蔚艳艳)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354