信息來源：E安全

近日據(jù)外媒報道，上周美國BSA互聯(lián)網(wǎng)協(xié)會在致五角大樓高級官員的一封信中表示，國防部的網(wǎng)絡(luò)安全成熟度模型認(rèn)證計劃（CMMC)可能會與預(yù)期效果相反，并可能會帶來安全風(fēng)險，他們要求國防部對計劃中的一些問題進行澄清。

該協(xié)會在信函中代表了100多家公司，其中包括美國軟件聯(lián)盟，網(wǎng)絡(luò)安全聯(lián)盟，信息技術(shù)行業(yè)委員會，CompTIA和數(shù)字創(chuàng)新聯(lián)盟。

據(jù)悉，該互聯(lián)網(wǎng)協(xié)會在致國防部采購和維持事務(wù)部國防部長艾倫·洛德的信中表示，“我們擔(dān)心，目前實施的CMMC計劃在關(guān)鍵領(lǐng)域缺乏足夠的清晰度和可預(yù)測性經(jīng)驗，可能會造成不必要的制度混亂和額外開銷， 如果不對該問題加以解決，這些問題可能導(dǎo)致網(wǎng)絡(luò)安全性降低”。

美國部分公司在信中表達(dá)了他們的擔(dān)憂，由于國防部表示將開始實施CMMC計劃，因此私營部門需要關(guān)注國防部是如何解決在認(rèn)證過程中存在的嚴(yán)重問題和不確定性因素的。其中，兩家公司寫道：“考慮到DIB的風(fēng)險，我們意識到在計劃實施之前解決這些問題是存在困難的，以目前的實施速度，除非在關(guān)鍵領(lǐng)域繼續(xù)致力于改善CMMC，否則該計劃可能會限制行業(yè)科技競爭并減少政府使用新技術(shù)的機會”。

BSA互聯(lián)網(wǎng)協(xié)會最后還表示，CMMC中的某些控件其實比較適用于傳統(tǒng)模型，但不一定適用于現(xiàn)代大規(guī)模的基礎(chǔ)架構(gòu)，嚴(yán)格遵守這些控制措施實際上可能會為高安全性和高可用性的控制措施帶來新的風(fēng)險。國防部應(yīng)該考慮并結(jié)合IT行業(yè)的反饋意見，這將有助于確保DoD優(yōu)化實施結(jié)構(gòu)的合理性,我們隨時準(zhǔn)備著協(xié)助國防部優(yōu)化CMMC的有效性。

目前，五角大樓官員正在全面啟動CMMC計劃，以確保對國防工業(yè)基地的承包商能夠?qū)嵤┻m當(dāng)?shù)木W(wǎng)絡(luò)安全控制。與此同時，國防承包商也在證明自身對CMMC計劃條例的遵守，例如美國國家標(biāo)準(zhǔn)技術(shù)研究院出版的800-171特別刊物中就提及了計劃的相關(guān)條例，CMMC將要求獨立第三方審核員在供應(yīng)商與DOD開展業(yè)務(wù)之前驗證該公司的合規(guī)性。 

國防部官員也表示，CMMC計劃將作為252.204.7012規(guī)則內(nèi)容添加到《國防聯(lián)邦采購條例》補編中，并將于春季開放供公眾征詢。他們還表示，對于CMMC計劃國防部正在緩慢地推進，并強調(diào)CMMC要到2026年才能全面實施。