國防部副部長負責采購和維持的CISOKatie Arrington表示：“這是國防部新的一天的開始，正如我們多年來一直在說的那樣，網(wǎng)絡安全是并購的基礎，我們是認真的。”

Katie Arrington談到了即將實施的網(wǎng)絡安全成熟度模型認證。事實上，隨著新一代網(wǎng)絡安全成熟度模型認證(CMMC)所授權的15份合同的截止日期臨近，五角大樓方面明確表示，這僅僅是個開始，未來至少對1500家承包商及分包商進行網(wǎng)絡安全成熟度認證。

“信任(承包商)，但也要驗證。”

相關規(guī)則將于今年12月1日起對新的合同正式生效。而這么做的原因是考慮到針對美國安全薄弱點的對手會試圖攻擊商業(yè)和軍事網(wǎng)絡，以竊取機密。而接下來國防部將強制推行的新的網(wǎng)絡安全合同規(guī)則，會確保整個員工隊伍建立能力基準，同時嚴格遵守美國家標準技術研究所(NIST)與國防部相關標準。因此，Katie Arrington認為，這一舉措對于美國的商業(yè)，國家安全至關重要。

后續(xù)，她和團隊還將繼續(xù)推進，并在數(shù)天內(nèi)完成過渡，直到臨時規(guī)則生效。一旦臨時規(guī)則制定，就會密切籌備作為試點的15份合同。這15份合同將開始向承包商之間新的、可核查的網(wǎng)絡安全轉(zhuǎn)變。預計至少1500個承包商和分包商參與項目，且全部需要獲得網(wǎng)絡安全認證。

這些合同將散布在各個服務部門，比如美國運輸司令部、網(wǎng)絡司令部，涉及導彈防御局等所謂“第四等級”機構(gòu)。合同的數(shù)額與復雜程度有所不同，認證工作計劃在2021財年內(nèi)進行。

值得注意的是，只要一家企業(yè)能夠符合部分110 NIST標準條款，并宣稱將致力于遵守其余條款，即可參與競標。簡答來說，就是在競爭國防部合同時，并不需要完全證明全部的合規(guī)性。

Arrinton指出，“CMMC設定了明確的標準。審計后，企業(yè)要么處于L1級，要么不符合要求。”在客觀上滿足安全能力要求的企業(yè)將擁有公平的競爭起點，而五角大樓也可以將安全成本直接納入合同，不必擔心引入與合規(guī)性要求相沖突的供應商。

對于合規(guī)性標準較高的重要合同，CMMC規(guī)則還要求合同內(nèi)容明確指定各分包商是否需要達到相同的合規(guī)性水平，或者會根據(jù)不同分包商所觸及信息的實際敏感度為其指定更確切的具體合規(guī)性要求。

建立在認證基礎之上的全新網(wǎng)絡安全機制，意味著五角大樓終于可以擺脫那些難以解決漏洞修復問題的公司，降低了供應鏈安全隱患。

參考來源：breakingdefense