มาตรฐานใหม่กำลังเปิดตัว โดยผู้รับเหมาของรัฐบาลจำนวนมากสงสัยว่าจะปฏิบัติตามข้อกำหนดได้อย่างไรการพูดคุยเกี่ยวกับการปฏิบัติตามมาตรฐานที่ได้รับมอบอำนาจของรัฐบาลกลางไม่ใช่เรื่องน่าตื่นเต้นสำหรับธุรกิจส่วนใหญ่ แต่เนื่องจากกระทรวงกลาโหมต้องพึ่งพาบริษัทและผู้รับเหมาช่วงกว่า 300,000 รายในการบำรุงรักษาการดำเนินงาน จึงเป็นการนำเข้าจำนวนมากในขณะที่บริษัทที่สนับสนุน DoD มักจะมองว่ามาตรฐานการปฏิบัติตามกฎระเบียบเป็นเรื่องยุ่งยากและสับสน จากมุมมองของรัฐบาล การรักษามาตรฐานระดับสูงและแนวทางปฏิบัติที่ดีที่สุดเป็น
เรื่องของความมั่นคงของชาติที่จำเป็นในการต่อสู้กับภัยคุกคาม
ทางออนไลน์จากผู้เกี่ยวข้องจากต่างประเทศถึงตอนนี้ คุณน่าจะได้ยินว่าเฟรมเวิร์กใหม่กำลังจะออกมา ซึ่งจะนำไปใช้กับผู้รับเหมาทุกคนที่ทำงานกับ DoD Cybersecurity Maturity Model Certification (CMMC) คาดว่าจะเปิดตัวในช่วงครึ่งแรกของปี 2021 คิดว่านี่เป็นสิ่งที่รวมและแทนที่มาตรฐานการปฏิบัติตามที่มีอยู่ เช่น NIST SP 800-171, 48 CFR 52.204-21, DFARS clause 252.204- 7012 — และอื่น ๆ — ในขณะที่ขยายความปลอดภัยและมาตรฐานการรายงาน
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
แต่นั่นหมายถึงอะไรสำหรับผู้รับเหมา? เราสามารถสรุปได้เป็นสองแนวคิดหลัก:
ตั้งแต่ฤดูใบไม้ผลิปี 2021 เป็นต้นไป DoD จะเริ่มเปิดตัวแบบไม่ต่อเนื่อง โดยต้องปฏิบัติตาม CMMC สำหรับ RFI และ RFP ภายในปี 2569 การประมูลสัญญา DoD จะต้องปฏิบัติตาม CMMC
คุณไม่ได้รับอนุญาตให้รายงานตนเองอีกต่อไป เพื่อให้ได้รับการรับรองว่าเป็นไปตามข้อกำหนด คุณต้องผ่านการตรวจสอบโดยองค์กรประเมินภายนอกที่ได้รับการรับรอง (C3PAO) ยังไม่มีผู้ประเมินที่มีคุณสมบัติครบถ้วน เว็บไซต์CMMC-ABระบุว่าในเดือนกันยายน 2020 การฝึกอบรมสำหรับกลุ่มเริ่มต้นได้เริ่มขึ้นแล้ว
พูดให้ชัดถ้อยชัดคำ หากคุณเป็นผู้รับเหมาของ DoD
คุณต้องเริ่มใช้ CMMC ทันที จากนั้นค้นหา C3PAO เพื่อยืนยันว่าคุณตรงตามมาตรฐานทันทีที่มีการฝึกอบรมผู้ประเมินที่มีคุณสมบัติเหมาะสม
วิเคราะห์มาตรฐาน
ผู้รับเหมาจำนวนมากกำลังมองหาคำแนะนำใหม่และสงสัยว่าจะเริ่มต้นจากที่ใด เช่นเดียวกับมาตรฐานการปฏิบัติตามข้อกำหนดของรัฐบาลส่วนใหญ่ CMMC ละเอียดถี่ถ้วนและมีรายละเอียด อย่างไรก็ตาม ข่าวดีก็คือ แม้ว่าคุณควรเข้าใจสิ่งที่จำเป็นสำหรับคุณแล้ว แต่คุณไม่จำเป็นต้องจดจำรูปแบบการรับรองทุกแง่มุม เนื่องจากคุณจะต้องผ่านการประเมินจากบุคคลที่สาม จึงเป็นความคิดที่ดีที่จะให้พันธมิตรด้านความปลอดภัยช่วยคุณนำมาตรฐานใหม่ไปใช้ หน้าที่ของพวกเขาคือการทำความเข้าใจกรอบงานอย่างครอบคลุมและช่วยคุณดำเนินการ ในขณะที่ธุรกิจของคุณมีข้อกังวลเร่งด่วนอื่นๆ
ระดับวุฒิภาวะของ CMMC
CMMC กำหนดแนวทางปฏิบัติที่ดีที่สุดออกเป็น 17 กลุ่ม ซึ่งเรียกว่าโดเมน ภายในแต่ละโดเมนมีความสามารถที่แตกต่างกัน 43 รายการ บริษัทส่วนใหญ่ที่ทำงานกับ DoD ไม่จำเป็นต้องแสดงความสามารถเหล่านี้ทั้งหมด แต่ยิ่งคุณตอบสนองมากเท่าไหร่ คุณก็จะยิ่งมีวุฒิภาวะสูงขึ้นเท่านั้น
ขอบเขตและความสามารถช่วยประเมินระดับความปลอดภัยที่ผู้รับเหมาปฏิบัติตาม มีห้าประเภทที่แตกต่างกันซึ่งเรียกว่าระดับวุฒิภาวะ ในการไปถึงระดับที่สูงขึ้น ก่อนอื่นคุณต้องปฏิบัติตามข้อกำหนดทั้งหมดของแต่ละระดับก่อนหน้า
ระดับ 1 : สุขอนามัยไซเบอร์ขั้นพื้นฐาน —กระบวนการจำกัดหรือไม่สอดคล้องกัน; การปฏิบัติด้านความปลอดภัยทางไซเบอร์ใด ๆ จะดำเนินการตามความจำเป็น รายละเอียด 17 วิธีปฏิบัติในการปกป้องข้อมูลสัญญาของรัฐบาลกลาง (FCI) ที่สอดคล้องกับข้อกำหนดที่ระบุไว้ใน 48 CFR 52.24-21 และ NIST SP 800-171
ระดับ 2 : สุขอนามัยไซเบอร์ระดับกลาง —มีการจัดทำเอกสารแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงแนวปฏิบัติด้านสุขอนามัยทางไซเบอร์เพิ่มเติม 55 ข้อจาก NIST SP 800-171 ตลอดจนอื่นๆ และอ้างอิงถึงการป้องกันข้อมูลที่ไม่เป็นความลับที่ถูกควบคุม
ระดับ 3 : สุขอนามัยทางไซเบอร์ที่ดี —มีการดูแลและปฏิบัติตามกระบวนการรักษาความปลอดภัยทางไซเบอร์ แนวปฏิบัติด้านสุขอนามัยทางไซเบอร์เพิ่มเติมอีก 58 ข้อจาก NIST SP 800-171 และอื่นๆ รวมเป็น 130 ข้อ หลักปฏิบัติที่สำคัญที่สุดคือการนำการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) มาใช้
ระดับ 4: เชิงรุก —กระบวนการรักษาความปลอดภัยทางไซเบอร์ได้รับการทบทวนและปรับปรุงทั่วทั้งบริษัทและมีทรัพยากรเพียงพอ แนวปฏิบัติด้านสุขอนามัยในโลกไซเบอร์เพิ่มเติมอีก 26 ข้อจาก Draft NIST SP 800-171B รวมเป็น 156 ข้อปฏิบัติด้านสุขอนามัย
ระดับ 5: ขั้นสูง/ก้าวหน้า —นอกเหนือจากแนวปฏิบัติที่ดีที่สุดระดับ 4 แล้ว กระบวนการรักษาความปลอดภัยทางไซเบอร์ยังได้รับการปรับปรุงอย่างต่อเนื่องทั่วทั้งบริษัท ระดับสูงสุดรวมถึงแนวปฏิบัติเพิ่มเติมจากร่าง NIST SP 800-171B และมาตรฐานอื่นๆ อีก 15 ข้อ ทำให้แนวปฏิบัติด้านสุขอนามัยในโลกไซเบอร์มีทั้งหมด 171 ข้อ
credit : shortstoryoflifeandstyle.com
proyectoscpc.net
helendraperyoung.com
riavto.org
partysofa.net
sierracountychamber.net
matsudatoshiko.net
learnlanguagefromluton.net
movabletypo.net
coachfactoryoutletusa.net
