ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneมีสายตามากกว่าปกติในกระทรวงกลาโหมในปีหน้าไม่ใช่แค่กลุ่มผู้รับเหมาทั่วไป ผู้ดูแล Capitol Hill และผู้ตรวจสอบบัญชี ตลอดจนมิตรและศัตรูของรัฐชาติ ขณะนี้มีชุมชนทั้งหมดเฝ้าดูว่า DoD ใช้ Cybersecurity Maturity Model Certification (CMMC) ใหม่อย่างไร
CX Exchange ของ Federal News Network: เข้าร่วมกับเราใน
ช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
นอกเหนือจากผู้รับเหมาของรัฐบาลที่ได้รับผลกระทบจากข้อกำหนดใหม่แล้ว หน่วยงานพลเรือนและพันธมิตร เช่น แคนาดา สวีเดน อิตาลี สหราชอาณาจักร และประเทศอื่นๆ กำลังให้ความสนใจอย่างใกล้ชิดกับวิธีการที่เพนตากอนเริ่มแก้ไขห่วงโซ่อุปทานและความท้าทายด้านความปลอดภัยทางไซเบอร์อื่นๆ ผ่านความคิดริเริ่มใหม่นี้
“พวกมันต่างเฝ้าดูว่าเราล้มหน้าคว่ำหรือเปล่า หากเรานำสิ่งนี้ไปใช้และทำให้ได้ผล พวกเขาระบุว่าจะนำ CMMC มาใช้เช่นกัน” Stacy Bostjanick ผู้อำนวยการสำนักงานนโยบาย CMMC ในสังกัดกระทรวงกลาโหมเพื่อการได้มาและความยั่งยืน กล่าวที่ชุมชนข่าวกรอง AFCEA NOVA ล่าสุด วันไอทีในเฮิร์นดอน เวอร์จิเนีย
Stacy Bostjanick เป็นผู้อำนวยการสำนักงานนโยบาย CMMC ในสังกัดกระทรวงกลาโหมเพื่อการได้มาและความยั่งยืน
หลังจากสุนทรพจน์ของเธอ บอสต์จานิคกล่าวว่าเธอลังเลที่จะเสนอรายละเอียดเพิ่มเติมว่าหน่วยงานพลเรือนใดสนใจ แต่เห็นได้ชัดว่ามีหลายหน่วยงานที่กำลังเฝ้าดูอยู่ รวมทั้ง Department of Homeland Security และ Federal Acquisition Security Council
DoD ซึ่งได้สรุปข้อกำหนดของ CMMCเมื่อปลายเดือนมกราคม
ก็กำลังเปลี่ยนการจ้องมองของ CMMC กลับมาที่ชุมชนประการแรก Bostjanick กล่าวว่ามีความกังวลเพิ่มขึ้นเกี่ยวกับบริษัทต่างๆ ที่อ้างว่าตนสามารถขอใบรับรองผู้ขายรายอื่นภายใต้ CMMC ได้
เธอบอกว่าถ้าคุณค้นหาใน Google มีตัวอย่างมากมายของข้อเสนอปลอมเหล่านี้
“ถ้าใครบอกคุณว่าพวกเขาสามารถรับรองคุณได้ พวกเขากำลังโกหก การทดสอบยังไม่เสร็จสิ้น” Bostjanick กล่าว “ตอนนี้เราถูกกดดัน และเรามีทีมงานเล็กๆ ที่ทำงานเพื่อให้เรื่องนี้สำเร็จ จึงมีเวลาไม่มากที่จะหยุดและติดตามบริษัทปลอม หน่วยงานที่ได้รับการรับรองพร้อมที่จะดำเนินการมากกว่าที่เราเป็นอยู่ เราตระหนักถึงเรื่องนี้และต้องการให้แน่ใจว่าบริษัทต่างๆ รู้ว่าจะไม่ไปหาบุคคลที่มีส่วนร่วมในการโฆษณาเท็จ”
เธอกล่าวว่าหน่วยงานรับรองซึ่งเป็นอิสระจาก DoD กำลังพิจารณาที่จะส่งจดหมาย “หยุดและยุติ” ไปยังบริษัทใด ๆ ที่ระบุว่าพวกเขาสามารถขอผู้ขายรายอื่นที่ได้รับการรับรองภายใต้ CMMC
“ยังไม่มีข้อกำหนดในการฝึกอบรมและการสอบ บริษัทสามารถประเมินบริษัทอื่นโดยใช้แบบจำลองได้ แต่คุณกำลังเสี่ยงเพราะคุณไม่สามารถจ่ายเงินเพื่อให้ได้รับการรับรองได้” เธอกล่าว “เรามีกฎเรื่องผลประโยชน์ทับซ้อนที่บอกว่าคุณไม่สามารถประเมินคนที่คุณแนะนำได้”
Bostjanick กล่าวว่าองค์กรประเมินบุคคลที่สามชุดแรกน่าจะพร้อมใช้งานไม่ช้ากว่าช่วงปลายฤดูร้อน
ตารางงาน CMMC สำหรับฤดูใบไม้ผลิ ฤดูร้อน
DoD วางแผนที่จะสรุปคู่มือการฝึกอบรมและการประเมิน CMMC ในเดือนมีนาคม
Bostjanick กล่าวว่าเอกสารเหล่านั้นจะบอกผู้ขายถึงสิ่งที่ต้องได้รับการรับรองในระดับ 1, 2 และ 3
“คำแนะนำเหล่านี้เป็นที่ที่ผู้คนสามารถค้นหาคำตอบและสิ่งประดิษฐ์ที่จำเป็น เป็นที่ที่คำตอบทั้งหมดสำหรับคำถามทั้งหมดของคุณจะเกิดขึ้นหากคุณอ่านคู่มือการประเมิน” เธอกล่าว “เราไม่ได้มีเจตนาที่จะหลอกลวงใคร”
อ่านเพิ่มเติม: สมุดบันทึกของนักข่าว
จากนั้นระหว่างเดือนเมษายนถึงมิถุนายน เธอกล่าวว่าหน่วยงานรับรองจะพัฒนาชั้นเรียนฝึกอบรมสำหรับผู้ประเมินบุคคลที่สาม ในที่สุดในกรอบเวลาเดือนมิถุนายนหรือกรกฎาคม ผู้จำหน่ายชุดแรกสามารถเริ่มผ่านขั้นตอนการประเมินเพื่อเตรียมพร้อมสำหรับการจัดซื้อจัดจ้าง 15 รายการแรกเพื่อเรียกร้องข้อกำหนดของ CMMC
“หน่วยงานรับรองกำลังทำงานร่วมกับเราเพื่อพัฒนาสื่อการฝึกอบรมเพื่อให้การรับรองผู้ประเมินบุคคลที่สาม จะมีตลาดสำหรับพวกเขาเมื่อพวกเขาผ่านหลักสูตรสองสัปดาห์และทดสอบการรับรองผู้รับรองระดับ 3” Bostjanick กล่าว “เรายังจะมีการฝึกอบรมในมหาวิทยาลัย Defense Acquisition ซึ่งเราจะทำงานร่วมกับผู้จัดการโปรแกรมและเจ้าหน้าที่ที่ทำสัญญา เพื่อให้พวกเขาเข้าใจว่าระดับ CMMC ที่แตกต่างกันคืออะไร และให้คำแนะนำแก่พวกเขาในการควบคุมข้อมูลที่ไม่เป็นความลับ เพื่อให้ผู้จัดการโปรแกรมสามารถหาวิธีแยกแยะข้อมูลได้ และไหลลงตามข้อกำหนดของ CMMC”
สมัครรับจดหมายข่าวรายวันของเรา เพื่อให้คุณไม่พลาดทุกความเคลื่อนไหวของรัฐบาลกลาง
เธอกล่าวว่า DoD ตระหนักดี ว่ามีขั้นตอนที่สามารถทำได้เพื่อลดภาระของผู้ขาย
ตัวอย่างเช่น DoD วางแผนที่จะทำการข้ามระหว่างข้อกำหนดของ CMMC และข้อกำหนดภายใต้โปรแกรมความปลอดภัยบนคลาวด์ที่เรียกว่าโปรแกรม Federal Risk Authorization Management (FedRAMP)
“หากคุณปฏิบัติตามข้อกำหนดของ FedRAMP คุณจะได้รับเครดิตสำหรับสิ่งที่คุณได้ทำภายใต้ข้อกำหนดของ FedRAMP เนื่องจากสอดคล้องกับ CMMC” เธอกล่าว “นั่นคืออีกสิ่งหนึ่งที่เราจะทำกับหน่วยงานที่ได้รับการรับรองเพื่อให้แน่ใจว่าเรามีนโยบายการแลกเปลี่ยนซึ่งกันและกัน เราได้พูดคุยกับคนที่ Energy เพราะพวกเขาปฏิบัติตามข้อกำหนด Cybersecurity Capability Maturity Model เพราะในที่สุดระยะที่ 2 จะเปิดตัวและเราจะพูดถึงระบบ แล้วเมื่อคุณคุยกับเจ้าหน้าที่รักษาความปลอดภัย พวกเขากำลังพูดถึงคะแนนความปลอดภัย สิ่งที่พวกเขากำลังคิดอยู่คือการตั้งค่ากระบวนการที่คล้ายกับ CMMC ซึ่งพวกเขาจะมาที่โรงงานของคุณเพื่อตรวจสอบนโยบายและขั้นตอนของคุณเกี่ยวกับภัยคุกคามจากวงในและความปลอดภัยของสถานที่ พวกเขาจะให้คะแนนคุณตามนโยบายและขั้นตอนของคุณ”
