E安全2月13日讯,据外媒报道,于2020年1月31日,美国国防部发布了新的网络安全标准——《网络安全成熟度模型认证1.0版》(简称CMMC 1.0)。美国防部表示,到2026年,国防承包商在回应政府采购计划的提案请求时,必须满足基本的网络安全标准。美国防部希望通过新版CMMC框架的推出,以增强国防工业基础(DIB)分包商的网络安全准备程度的方式,加强对供应链非机密信息(联邦合同信息(FCI)和受控未分类信息(CUI)的保护。
CMMC为美国防部提供了一种简单明了的机制,旨在通过使用5种级别的认证,对大小国防承包商的网络战备状态进行认证,认证重点关注网络安全实践和流程。
据美国防部负责并购与维持事务的副部长Ellen Lord称,新版CMMC这项部署是复杂的,在实施前,美国防部会务实安排探路项目,然后通过学习,反馈进行后续安排。他表示,这是国防部整体网络安全任务的重要基石,并认为认为国防部正在以不可逆转的势头开展进行这项工作,还希望这项工作能持续下去。他还提及,美国的对手很清楚,在当今大国竞争的环境中,信息和技术都是国家安全的基石,而攻击次级供应商远比直接攻击主要供应商更具吸引力。
新版CMMC模型框架适用领域
新版CMMC模型框架把流程和网络安全方面的最佳实践进行了整合。这些最佳实践都适用于各个多个领域:
Access Control (AC) 访问控制
Asset Management (AM) 资产管理
Awareness and Training (AT) 意识和培训
Audit and Accountability (AU) 审计和问责
Configuration Management (CM) 配置和管理
Identification and Authentication (IA) 身份识别和认证
Incident Response (IR) 应急响应
Maintenance (MA) 维护
Media Protection (MP) 媒介保护
Personnel Security (PS) 人员安全
System and Information Integrity (SI) 系统和信息整合
System and Communications Protection (SC) 系统和通讯保护
Situational Awareness (SA) 态势感知
Security Assessment (CA) 安全评估
Physical Protection (PE) 物理保护
Risk Management (RM) 风险管理
Recovery (RE) 恢复
CMMC成熟度进程级别
第一级:执行
第二级:记录
第三级:管理:
第四级:审查
第五级:优化