ผู้รับเหมาจะต้องพิสูจน์ว่ามาตรการรักษาความปลอดภัยในโลกไซเบอร์นั้นดีพอสำหรับ DoD

ผู้รับเหมาจะต้องพิสูจน์ว่ามาตรการรักษาความปลอดภัยในโลกไซเบอร์นั้นดีพอสำหรับ DoD

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน  Apple Podcasts  หรือ  PodcastOneหลังจากตั้งไข่มานานกว่าหนึ่งปี กฎสำหรับใบรับรอง Cybersecurity Maturity Model Certification ของกระทรวงกลาโหมก็ออกมาแล้ว อุตสาหกรรมกำลังจะบรรลุข้อกำหนดใหม่นี้ นั่นคือหากคุณอยู่ในห่วงโซ่อุปทานของ DOD คุณต้องแสดงให้ผู้พิพากษาบุคคลที่สามเห็นว่าคุณมีความปลอดภัยทางไซเบอร์เพียงเล็กน้อย โดยสรุป Joseph Petrillo ทนายความฝ่ายจัดซื้อเข้าร่วมFederal Drive กับ Tom Temin

 เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทาง

ไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม

Tom Temin: Joe ฉันเดาว่าอุตสาหกรรมนี้ต้องประหลาดใจเล็กน้อยเมื่อกฎนี้ออกมาเป็นกฎชั่วคราวและไม่ใช่กฎที่เสนอ แม้ว่าทุกคนจะรู้ว่ากำลังจะมา ดังนั้น CMMC จึงอยู่ที่นี่อย่างแน่นอน

โจ เปตริลโล:ถูกต้องแล้ว กฎนี้จะเข้าไปดูแลและวางแนวทางสำหรับการเปลี่ยนจากระบบปัจจุบันซึ่งอาศัยมาตรฐาน SP-800-171 พิเศษของ NIST ไปสู่ ​​CMMC ซึ่งเป็นมาตรฐานใหม่ที่ต่อยอดจากมาตรฐาน NIST แต่ก็ไปได้ด้วยดี นอกเหนือจากนั้น และช่วงเปลี่ยนผ่านกำลังจะเริ่มตั้งแต่ปลายเดือนหน้า คือ สิ้นเดือนพฤศจิกายน และกำลังจะเสร็จสิ้นภายในสิ้นปีงบประมาณ 2025 ดังนั้นภายในวันที่ 30 กันยายน 2025 เราควรอยู่ภายใต้ข้อกำหนดใหม่ของ CMMC มีผลทันทีของกฎใหม่ และก่อนที่ฉันจะเข้าใจว่าฉันควรเพิ่มสิ่งนี้จะมีผลกระทบอย่างใหญ่หลวงเพราะมันจะมีผลกับสัญญา DoD ทั้งหมดรวมถึงสัญญาสำหรับสินค้าเชิงพาณิชย์ ไม่รวมเฉพาะสินค้าเชิงพาณิชย์จากชั้นวาง ไม่รวมเฉพาะ COTS และจะถูกส่งต่อไปยังสัญญาย่อยที่ได้รับผลกระทบ หากผู้รับเหมาช่วงมีข้อมูลที่ครอบคลุมในข้อนี้ ผู้รับเหมาช่วงก็ต้องเป็นไปตามมาตรฐานเช่นกัน ดังนั้น การเปลี่ยนแปลงในปัจจุบันคือ สำหรับรางวัลใหม่ ผู้รับเหมาจะต้องโพสต์การประเมินของตนภายใต้มาตรฐาน NIST ไปยังระบบออนไลน์ที่เรียกว่าระบบความเสี่ยงด้านประสิทธิภาพของซัพพลายเออร์ (Supplier Performance Risk System, SPRS) มาตรฐาน NIST คือระดับพื้นฐาน ปานกลาง หรือสูง ปานกลางหรือสูงจะถูกโพสต์โดย DoD และ DoD จะหรือสามารถทำการประเมินระดับกลางหรือระดับสูงเหล่านั้นได้

Tom Temin:กล่าวคือ DoD สามารถดำเนินการได้เองหรือคุณต้อง

ไปหาบุคคลที่สามคนใดคนหนึ่ง — นี่คือกลุ่มผู้ประเมินหนึ่งพันคน?

Joe Petrillo:ใช่แล้ว ผู้ประเมินจากภายนอก ผู้ประเมินบุคคลที่สาม กำลังจะประเมินการปฏิบัติตาม CMMC ตอนนี้คุณต้องปฏิบัติตามส่วนต่างๆ ของมาตรฐาน NIST เพื่อให้เป็นไปตามระดับ CMMC แต่ตอนนี้ เราจะพบว่าระบบนั้นยังคงถูกนำออกมาใช้งาน ดังนั้นเราจึงได้รับผลกระทบทันทีแบบนี้ แต่ผู้คนได้จัดการกับมาตรฐาน NIST มาระยะหนึ่งแล้วและควรเร่งดำเนินการให้เร็วขึ้น

ทอม เทมิน:ในแง่หนึ่ง ผู้รับเหมาควรมีความปลอดภัยทางไซเบอร์อยู่แล้ว และถ้าพวกเขาทำธุรกิจกับกระทรวงกลาโหม ก็ดูไม่น่าตกใจที่จะสามารถแสดงให้เห็นว่าคุณปฏิบัติตามมาตรฐานที่ระบุไว้ใน SP-171 ได้ นั่นเป็นหนึ่งในเอกสารพื้นฐาน NIST ไม่ใช่เรื่องใหม่

โจ เปตริลโล:ขวา. สิ่งที่เกิดขึ้นที่นี่คือ แน่นอนว่าคุณต้องการความปลอดภัยทางไซเบอร์ แต่ DoD ต้องการกำหนดมาตรฐานขั้นต่ำและข้อกำหนดขั้นต่ำหลายชุด และสิ่งเหล่านี้จะมีความรุนแรงและความยากแตกต่างกันไปขึ้นอยู่กับความเสี่ยงที่เกี่ยวข้องกับสัญญาเฉพาะ สิ่งที่เรารอคอยในตอนนี้คือการนำ CMMC ไปใช้ในช่วงนี้ เริ่มตั้งแต่ปลายเดือนพฤศจิกายนจนถึงสิ้นปีงบประมาณ 2025 สิ่งที่เราต้องการเมื่อสิ้นสุดช่วงเวลานั้น และจุดต่างๆ ในระหว่างนั้นก็คือ ที่ผู้รับเหมาจะต้องใช้ใบรับรอง CMMC ปัจจุบันในระดับที่เรียกในการร้องขอ มีห้าระดับของการรับรองสำหรับ CMMC โดยพื้นฐานแล้ว พวกเขาสร้างตามข้อกำหนดของ NIST ด้วยชุดข้อกำหนดของตนเอง ต้องรักษาใบรับรองไว้ตลอดอายุสัญญา จะต้องเป็นปัจจุบันในคำที่ออกในช่วงสามปีที่ผ่านมาเพื่อต่ออายุการรับรองของคุณ และสิ่งที่ไม่เหมือนใครเกี่ยวกับ CMMC ก็คือจะมีการออกใบรับรอง ใบรับรองจะออกโดยผู้ประเมินที่เป็นบุคคลที่สาม และนี่คือผู้ประเมินที่ได้รับการรับรองจากหน่วยงานเอกชน CMMC Accreditation Body และสิ่งหนึ่งที่น่าสนใจคือข้อกำหนดเหล่านี้ ข้อกำหนดของ CMMC สามารถใช้ได้จนถึงสิ้นปี 2025 แต่ต้องได้รับอนุญาตจาก Office of the Undersecretary of Defense, Acquisition and Sustainment ดังนั้นขั้นตอนจะช้าลงเล็กน้อยเนื่องจากคุณต้องได้รับการอนุมัติเพื่อกำหนด CMMC และนี่คือผู้ประเมินที่ได้รับการรับรองจากหน่วยงานเอกชน CMMC Accreditation Body และสิ่งหนึ่งที่น่าสนใจคือข้อกำหนดเหล่านี้ ข้อกำหนดของ CMMC สามารถใช้ได้จนถึงสิ้นปี 2025 แต่ต้องได้รับอนุญาตจาก Office of the Undersecretary of Defense, Acquisition and Sustainment ดังนั้นขั้นตอนจะช้าลงเล็กน้อยเนื่องจากคุณต้องได้รับการอนุมัติเพื่อกำหนด CMMC และนี่คือผู้ประเมินที่ได้รับการรับรองจากหน่วยงานเอกชน CMMC Accreditation Body และสิ่งหนึ่งที่น่าสนใจคือข้อกำหนดเหล่านี้ ข้อกำหนดของ CMMC สามารถใช้ได้จนถึงสิ้นปี 2025 แต่ต้องได้รับอนุญาตจาก Office of the Undersecretary of Defense, Acquisition and Sustainment ดังนั้นขั้นตอนจะช้าลงเล็กน้อยเนื่องจากคุณต้องได้รับการอนุมัติเพื่อกำหนด CMMC

ทอม เทมิน:สิ่งที่คุณร่างไว้คือสิ่งที่ผมคิดว่าผู้คนกำลังตระหนักว่าเป็นเครื่องมือที่ค่อนข้างซับซ้อน แต่ถึงกระนั้นก็มีภาระให้กับผู้รับเหมา เพื่อให้ได้รับการรับรองในปี 2568 คุณต้องทำอย่างไร? ผู้รับเหมาควรทำอะไรในตอนนี้?

credit : ฝากถอนไม่มีขั้นต่ำ / สล็อตแตกง่าย / สล็อตเว็บตรง แตกหนัก