ในช่วงหลายเดือนที่ผ่านมา มีการแย่งชิงอย่างบ้าคลั่งจากผู้มีส่วนได้ส่วนเสียทั้งหมดที่เกี่ยวข้องกับโปรแกรม Cybersecurity Maturity Model Certification (CMMC) — Accreditation Body (AB) กระทรวงกลาโหม องค์กรประเมินบุคคลที่สาม (C3PAO) และอุตสาหกรรมกลาโหม ผู้ขายฐาน (DIB) — เพื่อกำหนดเส้นทางที่ดีที่สุดเพื่อรักษาความปลอดภัยให้กับห่วงโซ่อุปทานของประเทศ นี่เป็นเป้าหมายโดยปริยายของ CMMC ตั้งแต่เริ่มต้น ปัญหาคือว่าโปรแกรมไม่เคยผ่านการคิดมาก่อน ไม่มีความชัดเจนว่าจะนำข้อกำหนดไปปฏิบัติอย่างไร ข้อกำหนดเองก็มีการเปลี่ยนแปลงอยู่เสมอ และปัญหาคอขวดก็ผุดขึ้นมาอย่างต่อเนื่องเพื่อดำเนินการตามสิ่งที่ดูเหมือนจะได้ข้อยุติ
จากนั้นในวันที่ 4 พฤศจิกายน DoD ได้เผยแพร่เอกสารใหม่
“48 CFR Chapter 2 — Cybersecurity Maturity Model Certification (CMMC) 2.0 Updates and Way Forward ”ซึ่งสรุปการเปลี่ยนแปลงที่สำคัญบางอย่างในโปรแกรม CMMC DoD ยังได้อัปเดตเว็บไซต์อ้างอิง CMMCเพื่อรวมรายละเอียดใหม่ว่า CMMC 2.0 จะมีลักษณะอย่างไร ฉันขอให้ทุกคนไปที่เว็บไซต์และดู
ในระดับสูง ต่อไปนี้เป็นประเด็นสำคัญจาก CMMC 2.0:ขณะนี้จะมีการรักษาความปลอดภัยสามระดับ ซึ่งลดลงจากห้าระดับของ CMMC 1.0การรักษาความปลอดภัยระดับ 1 ใหม่ยังคงรักษาการควบคุม 17 รายการแบบเดียวกับ CMMC 1.0 ระดับ 1 แต่ลบข้อกำหนดการตรวจสอบอิสระออก ทำให้ผู้จำหน่าย DIB สามารถประเมินตนเองประจำปีได้
ระดับ 2 ใหม่ (ก่อนหน้านี้คือ CMMC 1.0 ระดับ 3) ขณะนี้รวมเฉพาะแนวทางปฏิบัติ 110 ข้อจาก NIST SP 800-171 Rev. 2, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations แนวทางปฏิบัติเพิ่มเติม 20 รายการและกระบวนการสามขั้นตอนที่ยืมมาจากกรอบความปลอดภัยอื่นๆ (เช่น FAR Clause 52.204-21, NIST 800-53 Rev. 4, NIST CSF v1.1.) ที่เป็นส่วนหนึ่งของ CMMC 1.0 ได้ถูกลบออกไปแล้ว
นอกจากนี้ เฉพาะผู้ให้บริการ DIB ที่มีข้อมูลความปลอดภัยระดับชาติที่สำคัญเท่านั้นที่จะต้องได้รับการประเมินจากบุคคลที่สามอิสระสามปี
ผู้ให้บริการ DIB ที่ไม่มีข้อมูลความมั่นคงของชาติที่สำคัญจะได้รับอนุญาตให้ทำการประเมินตนเองประจำปี
ระดับ 3 ใหม่ (ก่อนหน้านี้คือ CMMC 1.0 ระดับ 5) ขณะนี้
มีเฉพาะแนวปฏิบัติจาก NIST 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information ซึ่งเป็นส่วนเสริมของ NIST SP 800-171
จากรายละเอียดข้างต้น หลายคนในอุตสาหกรรมกำลังพิจารณาว่าการปล่อยระเบิดปรมาณูในวันที่ 4 พฤศจิกายนจะเทียบเท่ากับระเบิดปรมาณู ฉันคิดว่าโปรแกรม CMMC นั้น “ถูกระเบิด” และฉันคิดว่าเราทุกคนจำเป็นต้องรอให้ฝุ่นจางลง นับตั้งแต่ก่อตั้ง CMMC รู้สึกเหมือนทุกคนเหยียบคันเร่งจนติดพื้นเพื่อต้องการก้าวนำหน้าคนอื่นๆ เพื่อเป็นคนแรกในทุกๆ ด้านของรายการ พูดตามตรง ความคิดนี้ทำให้ผู้มีส่วนได้ส่วนเสียรู้สึกเหนื่อยหน่ายจากการเปลี่ยนแปลงที่แสดงโดย CMMC 2.0 ไม่มีวิธีอื่นที่จะอธิบายได้ ธุรกิจบางแห่งทำการลงทุนราคาแพงใน CMMC 1.0 และมีแนวโน้มว่าการลงทุนเหล่านั้นจะไม่เป็นไปตามที่พวกเขาหวังไว้
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
จากเหตุการณ์ที่เกิดขึ้นเมื่อเร็วๆ นี้ คำแนะนำของฉันคือให้ทุกคนถอยออกมาและหายใจเข้า ปล่อยให้ DoD และ CMMC-AB (หากยังคงมีอยู่ในโลก CMMC 2.0 นี้) จับปากกาลงกระดาษและประมวลว่า CMMC 2.0 จริง ๆ แล้วจะมีหน้าตาเป็นอย่างไร เพื่อป้องกันไม่ให้ CMMC 1.0 ออกมากระทบเราอีกครั้งด้วย 2.0
ในขณะเดียวกัน NIST 800-171 ยังคงเป็นกฎหมายของประเทศมาโดยตลอดและยังคงเป็นกฎหมายต่อไป หากองค์กร DIB ของคุณดำเนินการ จัดเก็บ และ/หรือส่งข้อมูลลับที่ไม่เป็นความลับ คุณจะต้องแน่ใจว่าคุณใช้ NIST 800-171 อย่างครบถ้วนสมบูรณ์ ไม่ว่าคุณจะต้องการบุคคลที่สามที่เป็นอิสระเพื่อประเมินการใช้งานของคุณในที่สุด หรือคุณจะสามารถประเมินตนเองได้ก็ไม่สำคัญ NIST 800-171 เป็นพื้นฐานที่มั่นคงในการรักษาความปลอดภัยข้อมูลที่สำคัญ และเป็นขั้นต่ำที่ผู้ค้าทุกรายที่ทำธุรกิจกับ DoD ควรให้ความสำคัญอย่างเต็มที่
Credit : สล็อตเว็บแท้ / 20รับ100 / เว็บสล็อตออนไลน์
