建筑房屋

我们的网站为您提供关于建筑房屋的丰富信息和资源。无论您是在寻找建造新房还是进行房屋改造,我们提供专业的指导和建议。从建筑设计、材料选择到施工技巧,我们的内容涵盖了建筑房屋的方方面面。无论您是专业人士还是业余爱好者,我们都致力于为您提供有用且实用的知识,帮助您打造您梦寐以求的理想住所。欢迎来到我们的网站,让我们一起探索建筑房屋的精彩世界!

國防部新年快樂– 擬議的CMMC 規則就在這裡

Samson Adebowale

我们的网站为您提供关于建筑房屋的丰富信息和资源。无论您是在寻找建造新房还是进行房屋改造,我们提供专业的指导和建议。从建筑设计、材料选择到施工技巧,我们的内容涵盖了建筑房屋的方方面面。无论您是专业人士还是业余爱好者,我们都致力于为您提供有用且实用的知识,帮助您打造您梦寐以求的理想住所。欢迎来到我们的网站,让我们一起探索建筑房屋的精彩世界!

Contact Info



Telephone Number

2349073908225

+2349073908225

Mail Address

samjades@sameerabuildingconstruction.com


2023 年12 月26 日,美國國防部(DoD) 發布了備受期待的網路安全成熟度模型認證(CMMC) 2.0 計畫修改後的建議規則。

隨著國防部內部越來越擔心承包商未能一致地執行DFARS 252.204-2012 的網路安全要求,國防部做出了回應,於2019 年創建了CMMC 計劃,以擺脫「自我認證」的安全模型。 CMMC 計劃的目的是讓承包商和分包商證明正在處理、儲存或傳輸的聯邦合約資訊(FCI) 和受控非機密資訊(CUI) 得到充分保護。 CMMC 以現有網路安全要求為基礎,要求承包商和分包商根據需要進行自我評估、第三方評估或政府評估,以確保強制資訊保護要求得到實施。

擬議的規則適用於處理、儲存或傳輸FCI 或CUI 的國防承包商和分包商,預計將成為國防部每次價值高於小額採購門檻(目前為10,000 美元)招標的一部分。此規則不適用於商業現貨(COTS) 專案的合約或由承包商和分包商為支持政府而營運的政府資訊系統。

除該計劃第3 級強制要求的安全要求外,CMMC 未強加任何新的安全要求。例如,受252.204-7012 約束的承包商已被要求根據NIST SP 800-171 保護所涵蓋的國防資訊。相反,CMMC 為國防部提供了驗證國防承包商或分包商是否已在每個必要的CMMC 層級實施安全要求並在整個合約履行期間維持這些要求的流程。

CMMC 合規級別

CMMC 評估分為三個不同級別,從1 級FCI 的基本保護開始,到2 級CUI 的更廣泛保護。 3 級保護將需要針對DoD 術語「進階持久性」風險的最高等級保護威脅(APT)。 」

為了 CMMC 1 級,承包商和適用的分包商已被要求實施FAR 第52.204-21 條目前要求的15 項安全要求。 1 級要求所有承包商透過每年進行的自我評估來驗證是否遵守安全控制措施。承包商將把他們的評估分數輸入國防部的供應商績效風險系統(SPRS)。 CMMC 2 級 將需要進行自我評估或由第三方評估組織(C3PAO) 進行認證評估,以驗證承包商對CMMC 2 級安全要求的實施。評估必須在合約授予前完成,合規認證的有效期為三年。 CMMC 3 級 將要求承包商實施NIST SP 800-172 中選定的24 項安全要求。請注意,CMMC 2 級認證是獲得CMMC 3 級認證的先決條件。與CMMC 2 級不同,DoD 評估員將執行3 級認證評估。

選擇在評估時未完全實施的2 級和3 級要求可能是行動計畫和里程碑(POA&M) 的主題。承包商POA&M 涵蓋的所有允許要求必須在評估後180 天內完成。不允許1 級以下的POA&M。

根據提議,該規則要求主承包商和任何適用的分包商的高級官員每年確認該公司持續遵守指定的安全要求。這些確認以電子方式輸入SPRS 中。在2 級和3 級,必須在每次CMMC 評估(包括POA&M 收尾)後做出這些確認。

CMMC實施

國防部將分四個階段實施CMMC 計畫要求,並將在三年內透過招標引入CMMC 要求。這種迭代方法應該為公司提供適當的啟動時間。國防部預計擁有現有合約的公司需要兩年時間才能獲得CMMC 認證。

  • 階段1 自DFARS 252.204–7021 的CMMC 修訂版生效之日起開始。國防部打算將CMMC 1 級自我評估或CMMC 2 級自我評估納入所有適用的國防部招標和合約中,作為合約授予的條件。
  • 階段2 從第一階段開始日期後六個月開始。除了第一階段的要求外,國防部打算將CMMC 2 級認證評估納入適用的國防部招標和合約中,作為合約授予的條件。國防部可以自行決定將CMMC 2 級認證評估的納入延後到選擇期,而不是作為合約授予的條件。
  • 第三階段 從第2 階段開始日期後的一個日曆年開始。除了第1 階段和第2 階段的要求外,DoD 打算將CMMC 2 級認證評估納入所有適用的DoD 招標和合約中,作為授予合約的條件和行使生效日期之前授予的合約的選擇權期限。國防部打算將CMMC 3 級認證評估納入所有適用的國防部招標和合約中,作為合約授予的條件。國防部可以自行決定將CMMC 3 級認證評估推遲到一個選項期,而不是作為授予合約的條件。
  • 第四階段,全面實施, 從第3 階段開始日期後的一個日曆年開始。國防部將在所有適用的國防部招標和合約中納入CMMC 計劃要求,包括在第4 階段開始之前授予的合約的選擇期。

重點

現在是承包商準備證明CMMC 合規性的時候了。承包商應制定和審查目前的系統安全協議並完成系統安全計畫(SSP)。承包商還應考慮進行律師-客戶特權測試評估,以確定其滿足CMMC 要求的能力。此外,承包商應更新所有網路安全治理文件,包括解決網路安全事件的報告問題。最後,根據高級官員確認遵守網路安全要求的授權,國防部發出這樣的信號:此類確認對政府至關重要,對承包商合規狀況的虛假陳述可能會被視為虛假陳述,使承包商承擔虛假聲明的責任行為; 因此,應仔細評估肯定性陳述。

對擬議規則的評論必須在2024 年2 月26 日之前提交。

如果您對此擬議規則有任何疑問,請聯絡您的Cohen Seglias 聯絡人或政府承包小組的任何成員。



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *