【据美国国防部网站10月11日报道】10月11日,美国防部发布网络安全成熟度模型认证(CMMC)计划最终规则。
该最终规则使CMMC计划与《联邦采办条例》第52.204-21部分和国家标准与技术研究院(NIST)特别出版物(SP)800-171(二次修订版)和800-172中所述的网络安全要求保持一致;通过将评估级别从原计划中的五个减少到新计划中的三个,简化了中小型企业的流程;明确了CMMC3级认证必须满足的24项NIST SP 800-172要求。根据最终规则,国防部将允许企业适时对其合规性进行自我评估。联邦合同信息(FCI)的基本保护将需要CMMC1级的自我评估。受控非机密信息(CUI)的一般保护将需要第三方评估或CMMC2级的自我评估。对于某些CUI,则需要更高级别的保护,以防范高级持续性威胁的风险。这种强化保护需要由国防工业基础网络安全评估中心牵头进行CMMC3级评估。
作者:赵霄
注:原文来源网络,文中观点不代表本公众号立场,相关建议仅供参考。
声明:本文来自国防科技要闻,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。