美国防部在10月3日的一个信息征集通知（RFI）中指出，“防范美国国防行业基础（Defense Industrial Base，DIB）中受控非涉密信息（Controlled Unclassified Information，CUI）受损，对于维护美国家安全非常重要”，因此该部计划设立一个专门负责对美国国防行业近三十万家承包商——其中绝大部分是中小企业——进行“网络安全成熟度模型认证（Cybersecurity Maturity Model Certification，CMMC）”认证的非营利性机构。“网络安全成熟度模型认证”是美国防部旨在衡量其承包商是否已采取必要措施，保护存在其企业网络中之美国敏感军事数据的新规范，美国防部在今年八月底发布了该规范的第四版草案，并计划在明年一月发布最终版本。

美国防部计划设立的非营利性机构“网络安全成熟度模型认证主体（CMMC Accreditation Body）”，未来将负责实施相关认证项目，监管第三方测评机构（CMMC Third-Party Assessment Organization，C3PAO）开展工作，并向通过认证的承包商颁发证书。目前美国防部尚未确定这个非营利性机构的架构设计，他们希望美国相关行业就该机构的“长期建设、功能、维持和发展”提供建议。

根据“网络安全成熟度模型认证”规范的要求，美国防部指定的测评机构将对美国防承包商在十八个网络安全领域的实践和流程进行打分，这些领域包括访问控制、治理、网络事件响应、风险评估、雇员培训等，分值将从1到5，分值越高表明安全性越强。在承包商的网络安全成熟度水平确定后，美国防部将与第三方测评机构一起“开展审计并分析风险”，这个做法将借鉴美国联邦政府使用第三方测评机构来验证云计算产品安全性的“联邦政府风险与授权管理项目（Federal Risk and Authorization Management Program，FedRAMP）”。

声明：本文来自国际安全简报，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。