前情回顾·美国联邦网络安全建设

安全内参11月8日消息,美国国土安全部将开展“网络安全准备度”评估,在签订合同之前确定承包商是否已经采取适当的网络防御措施。

11月1日,美国国土安全部发布通知,公开新的“网络安全准备度评估因素”的详细信息。该通知由国土安全部首席信息安全官Kenneth Bible和采购政策与法规执行主任Sarah Todd共同签署。

通知确认,美国国土安全部计划采用自己的方法来评估承包商的网络安全,不再采用美国国防部的网络安全成熟度模型认证(CMMC)计划。

采用问卷调查审核评估形式

美国国土安全部官员在通知中写道:“国土安全部旨在确保,承包商已经采取了有效且适当的网络安全措施以支持工作。有了新的评估因素,国土安全部将能在适用合同招标前,评估承包商的网络安全状况,进行价值权衡,做出最佳决策。”

通知没有说明新的评估因素将何时生效。但美国国土安全部希望在11月17日之前收到对其计划的反馈意见。

在通知的附件中,美国国土安全部详细说明将如何分析承包商对问卷调查的回答,并以此为基础评估“网络安全准备度”。

如果招标使用准备度因素,投标公司需要展示他们如何落实美国国家标准与技术研究院的网络安全控制要求(如NIST SP 800-171r2、NIST SP 800-172),从而保护敏感政府数据CUI(受控非机密信息)。

投标公司将填写美国国土安全部“标准化安全评估工具问卷”。根据填写内容,公司将收到“准备度结果”和评级。从高到低,有“高度可能具备网络安全准备度”、“可能具备网络安全准备度”、“不太可能具备网络安全准备度”等多个等级。

美国国土安全部在通知中指出,这些指标“将根据具体的招标进行调整”。此外,公司的网络安全评级可能会对他们的投标产生积极或消极的影响。

通知附件指出:“目前,网络安全准备度因素将只用于适用招标工作,帮助进行价值权衡,做出最佳授标决策。当然,如果中标方在授标时并不符合美国国土安全部期望的要求,需要在招标文件中加入行动计划和里程碑节点,在授标后交付。”

美国土安全部弃用国防部CMMC标准

美国国土安全部去年向400家承包商发送自我评估问卷,以评估行业网络卫生情况,并在此基础上设计了全新的准备度评估工具。

在近日由Leadership Connect主持的网络研讨会上,Kenneth Bible表示,网络卫生工作围绕美国国土安全部的一项优先任务展开,即“通过采购提高行业承包商的网络安全态势”。

美国国土安全部的承包商需要遵循与美国国部防承包商相同的CMMC网络安全标准。不过Kenneth Bible此前表示,国防部要求许多承包商依照网络安全成熟度模型认证计划进行第三方网络安全评估,这一要求并不适合国土安全部。

Kenneth Bible在此次活动上重申了这一立场,表示该计划“不太适用于我们的行业承包商”,其中包括大量的小型企业。美国国防部正被迫对网络安全成熟度模型认证计划进行重大改革,以降低计划给中小型企业带来的成本。

Kenneth Bible表示,美国国土安全部可以在不制定任何规则的情况下实施网络安全评估机制。与之相比,国防部的网络安全成熟度模型认证流程仍处于规则制定阶段,不太可能在今年生效。

Kenneth Bible说:“这有助于我们在签订合同之前就进行审查。我们正在努力落实现在就可以落实的措施。只管动手去做就好。我认为,公众只要看到政府正在采取他们希望采取的行动,就会更加有信心。我们开始以此为工作标准,这对我们的工作会有很大帮助。或许我们无法做到每次都达到目标,但是,不动手去做,就永远无法达到目标。”

参考资料:https://federalnewsnetwork.com/acquisition-policy/2023/11/dhs-lays-out-new-cybersecurity-readiness-metrics-for-contractors/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。