美国防部发布网络安全成熟度模型认证计划最终规则

【据美国国防部网站10月11日报道】10月11日，美国防部发布网络安全成熟度模型认证（CMMC）计划最终规则。

该最终规则使CMMC计划与《联邦采办条例》第52.204-21部分和国家标准与技术研究院（NIST）特别出版物（SP）800－171(二次修订版)和800－172中所述的网络安全要求保持一致；通过将评估级别从原计划中的五个减少到新计划中的三个，简化了中小型企业的流程；明确了CMMC3级认证必须满足的24项NIST SP 800-172要求。根据最终规则，国防部将允许企业适时对其合规性进行自我评估。联邦合同信息（FCI）的基本保护将需要CMMC1级的自我评估。受控非机密信息（CUI）的一般保护将需要第三方评估或CMMC2级的自我评估。对于某些CUI，则需要更高级别的保护，以防范高级持续性威胁的风险。这种强化保护需要由国防工业基础网络安全评估中心牵头进行CMMC3级评估。

作者：赵霄

注：原文来源网络，文中观点不代表本公众号立场，相关建议仅供参考。

声明：本文来自国防科技要闻，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。