เพนตากอนพิจารณาสิ่งจูงใจเพื่อให้บริษัทเข้าสู่ CMMC 2.0 ก่อนกำหนด

เพนตากอนพิจารณาสิ่งจูงใจเพื่อให้บริษัทเข้าสู่ CMMC 2.0 ก่อนกำหนด

 แม้ว่าอาจใช้เวลาหลายเดือนหรือหลายปีกว่าที่การรับรอง Cybersecurity Maturity Model Certification จะเป็นข้อกำหนดในสัญญาการป้องกัน เจ้าหน้าที่ของเพนตากอนกำลังพิจารณารางวัลทางการเงินและสิ่งจูงใจอื่น ๆ เพื่อให้ผู้รับเหมาปรับปรุงการป้องกันเครือข่ายก่อนที่ CMMC 2.0 จะเป็นจริงกระทรวงกลาโหมได้ประกาศการเปลี่ยนแปลงครั้งใหญ่ในนโยบาย CMMC เมื่อต้นเดือนที่ผ่านมา โดยได้ยกเลิกข้อกำหนดสำหรับผู้รับเหมาส่วนใหญ่ในการได้รับการรับรองเป็นเงื่อนไขของรางวัลอย่างมีประสิทธิภาพ แต่บริษัทที่จัดการข้อมูลสัญญาที่มีความละเอียดอ่อนน้อยกว่าจะต้องยื่นคำรับรองด้วยตนเองประจำปีว่าพวกเขาปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยของเครือข่าย

เพนตากอนกล่าวว่าการเปลี่ยนแปลงนี้จะช่วยลดต้นทุนและความซับซ้อน

ของผู้รับเหมาขนาดกลางและขนาดย่อมหลายพันรายDoD กำลังทำการเปลี่ยนแปลงมาตรฐาน CMMC และยุบโมเดลออกเป็นสามระดับ ลดลงจากห้าระดับก่อนหน้านี้ นอกจากนี้กระทรวงกลาโหมจะอนุญาตให้บริษัทต่างๆ เลื่อนข้อกำหนดบางอย่างออกไปได้ในบางกรณีเป็นเวลาสูงสุด 180 วันหลังจากได้รับสัญญาจากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร

เพนตากอนจะเริ่มกระบวนการกำหนดกฎเกณฑ์สำหรับโมเดล CMMC 2.0 ซึ่งเจ้าหน้าที่กล่าวว่าอาจใช้เวลาระหว่างเก้าถึง 24 เดือน

แต่ในระหว่างนี้ DoD จะยังคงพิจารณาวิธีการจูงใจผู้รับเหมาเพื่อปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยของเครือข่าย ตามคำกล่าวของ Stacy Bostjanick ผู้อำนวยการฝ่ายนโยบาย CMMC ภายในสำนักงานของเลขานุการฝ่ายการจัดหาและความยั่งยืน

“บางสิ่งที่เรากำลังพิจารณาคือศักยภาพของบริษัทที่สามารถแสดงให้เห็นว่าเครือข่ายของพวกเขาปลอดภัย พวกเขาก็อาจจะได้รับผลกำไรที่สูงขึ้น” เธอกล่าวระหว่างการประชุมฝึกอบรมฤดูใบไม้ร่วงของกลุ่มพันธมิตรเพื่อการจัดซื้อจัดจ้างของรัฐบาลเมื่อสัปดาห์ที่แล้ว .

“พื้นที่อื่นที่เรากำลังพิจารณาคือการเพิ่มเกณฑ์การประเมินสำหรับสัญญา

 ซึ่งไม่จำเป็นต้องได้รับการรับรองจาก CMMC แต่เราจะประเมินความปลอดภัยเครือข่ายของผู้คนโดยเป็นส่วนหนึ่งของการประเมินการเลือกแหล่งที่มา” เธอกล่าวต่อ “ดังนั้นจึงยังคงเป็นปัจจัยในการได้รับรางวัลก่อนที่ CMMC จะมีผลบังคับใช้ผ่านการกำหนดกฎ”

หน่วยงานรับรองระบบ CMMC ได้รับรององค์กรประเมินบุคคลที่สามของ CMMC (C3PAO) หลายแห่งแล้วเพื่อตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยเครือข่ายของผู้รับจ้างด้านการป้องกันอย่างเป็นทางการ และ Bostjanik กล่าวว่ากระทรวงกลาโหมจะยอมรับการประเมินที่ C3PAO เหล่านั้นดำเนินการเป็นส่วนหนึ่งของความพยายามสร้างแรงจูงใจ

“พวกเขา [C3PAO] มีบริษัทที่ลงทะเบียนเพื่อรับการประเมินจริง ๆ” เธอกล่าว “หากบริษัทเหล่านั้นก้าวไปข้างหน้าและได้รับการประเมิน CMMC และได้รับใบรับรอง เราก็กำลังมองหาวิธีสร้างแรงจูงใจให้บริษัทต่างๆ ทำเช่นนั้นต่อไป และสองสิ่งที่เรามีอยู่บนโต๊ะตอนนี้คือกำไรที่เพิ่มขึ้นและเกณฑ์การประเมินการเลือกแหล่งที่มาซึ่งคำนึงถึงสถานะของเครือข่ายของใครบางคนในการเลือกแหล่งที่มานั้น”

เดิมทีโครงการ CMMC ถูกสร้างขึ้นเพื่อปรับปรุงแนวปฏิบัติด้านความปลอดภัยเครือข่ายของฐานอุตสาหกรรมกลาโหม ซึ่งเจ้าหน้าที่กล่าวว่ายังคงตกเป็นเป้าหมายของชาติปรปักษ์เพื่อขโมยทรัพย์สินทางปัญญาและความรู้เกี่ยวกับเทคโนโลยีทางทหารที่ละเอียดอ่อน

“ฉันคิดว่าการรักษาความปลอดภัยของบริษัท ความมั่นคงของชาติ เพื่อป้องกันตัวเองจากศัตรูที่ขโมยข้อมูลของเราและขโมยข้อมูลเราไปโดยไม่จำเป็น” Bostjanik กล่าว “เรากำลังต่อสู้กับสงครามไซเบอร์อยู่ในขณะนี้ และเราต้องเริ่มปกป้องตัวเองเพื่อที่เราจะชนะสงครามนั้นได้”

 ในขณะที่ CMMC ยังไม่บรรลุผล แต่ Buddy Dees ผู้อำนวยการ CMMC ชี้ให้เห็นว่าสัญญาการป้องกันมีข้อกำหนดด้านความปลอดภัยในโลกไซเบอร์ตั้งแต่ปี 2559 ประโยคดังกล่าวกำหนดให้ผู้รับเหมาดำเนินการควบคุม 110 รายการในสิ่งพิมพ์พิเศษของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ 800- 171 “การปกป้องข้อมูลที่ไม่เป็นความลับที่ถูกควบคุมในระบบและองค์กรที่ไม่ใช่ของรัฐบาลกลาง”

แต่กระทรวงไม่ค่อยตรวจสอบว่าผู้รับเหมาปฏิบัติตามข้อกำหนดเหล่านั้นจริงหรือไม่

“หากคุณมีข้อกำหนดและข้อกำหนดเหล่านี้ในสัญญา คุณยังคงต้องปฏิบัติตามข้อกำหนด 110 ข้อจาก NIST [800-]171” Dees กล่าว “การนั่งรอเฉยๆ นั้นไม่สมเหตุสมผลเลย และตอนนี้ การที่รัฐบาลกำลังดำเนินการกับ CMMC 2.0 ระดับ 2 ก็จะเชื่อมโยงโดยตรงกับ 110 เหล่านั้น คุณอาจจะก้าวไปข้างหน้าและเริ่มดำเนินการเพื่อปิดการใช้งานเหล่านั้นเพื่อที่ว่า เมื่อเรามีประสิทธิภาพคุณไม่ได้อยู่หลังเส้นโค้งพลังงาน”

Credit : สล็อตเว็บแท้ / 20รับ100 / เว็บสล็อตออนไลน์