亚洲高清在线中文字幕,制服丝袜中文字幕在线,国产最新无码专区在线,八戒午夜理论影片a

    為新國防部IT安全準(zhǔn)則做好準(zhǔn)備

    國防部為承包商發(fā)布了新的網(wǎng)絡(luò)安全指南。了解新的CMMC規(guī)則與其他任務(wù)以及如何準(zhǔn)備進(jìn)行了比較。

    聯(lián)邦承包商IT安全準(zhǔn)則

    今天，聯(lián)邦承包商面臨著令人眼花array亂的IT安全準(zhǔn)則。對于想要與聯(lián)邦機(jī)構(gòu)和其他政府實(shí)體開展業(yè)務(wù)的任何人來說，了解這些結(jié)構(gòu)的差異以及如何將其應(yīng)用于您的業(yè)務(wù)至關(guān)重要。

    國防部正在推出一套新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，稱為網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）計(jì)劃。CMMC將于2020年6月開始接受提案請求。它與其他情況下使用的其他網(wǎng)絡(luò)安全指南（包括NIST SP 800-171和《聯(lián)邦采購條例》（FAR）以及《國防聯(lián)邦采購》）并入并具有許多相似之處法規(guī)補(bǔ)充（DFARS）。

    而且，這些結(jié)構(gòu)還依賴于其他兩個(gè)概念-受控未分類信息（CUI）和零信任體系結(jié)構(gòu)。這足以讓任何IT高管或C級官員肚子疼。

    讓我們從這些準(zhǔn)則尋求保護(hù)的數(shù)據(jù)開始。

    什么是CUI？

    受控的未分類信息是需要由非政府實(shí)體保護(hù)的未分類數(shù)據(jù)的集合。它通常涵蓋屬于以下類別之一的信息：

    政府合同中確定的信息

    國防部提供給承包商的信息

    承包商在執(zhí)行政府合同期間創(chuàng)建的信息

    認(rèn)為CUI的信息各不相同，分為各種類別。例如，專利申請和發(fā)明被視為CUI。一個(gè)CUI類別的一部分。另一類包括隱私數(shù)據(jù)，包括死亡記錄，遺傳信息，健康信息，學(xué)生記錄，人員記錄和軍事記錄。

    所涵蓋的數(shù)據(jù)顯然是敏感的，值得保護(hù)。隨著時(shí)間的推移，聯(lián)邦機(jī)構(gòu)已使用各種方法來確保承包商確保數(shù)據(jù)安全。

    什么是零信任架構(gòu)？

    2019年底，美國商務(wù)部國家標(biāo)準(zhǔn)技術(shù)研究院發(fā)布了一套新的標(biāo)準(zhǔn)，包括旨在幫助組織采用零信任架構(gòu)方法的術(shù)語和定義。ZTA是一種越來越流行的網(wǎng)絡(luò)安全方法。

    從歷史上看，網(wǎng)絡(luò)安全一直集中在廣泛的網(wǎng)絡(luò)邊界上。而使用ZTA時(shí)，該關(guān)注點(diǎn)會縮小到一小部分資源或個(gè)人。ZTA根本缺乏信任。作為局域網(wǎng)的一部分或位于本地已不再足夠。

    使用ZTA，僅在需要資源時(shí)才授予訪問權(quán)限。在建立連接之前，用戶和設(shè)備均已通過身份驗(yàn)證。

    云應(yīng)用和遠(yuǎn)程用戶的急劇增長推動了向ZTA的轉(zhuǎn)變。外圍不再是網(wǎng)絡(luò)安全的正確重點(diǎn)。ZTA而是專注于保護(hù)資源。

    國防部新的網(wǎng)絡(luò)安全要求是什么？

    在查看新的CMMC指南之前，請務(wù)必注意用于聯(lián)邦合同的一般指南。FAR是一套指導(dǎo)企業(yè)如何與聯(lián)邦政府合作的準(zhǔn)則。FAR準(zhǔn)則包括承包商必須遵循的一些有關(guān)網(wǎng)絡(luò)安全的基本規(guī)則。

    DFARS是一組專門針對與國防部合作的承包商的準(zhǔn)則，要求供應(yīng)商提供足夠的安全性并及時(shí)報(bào)告網(wǎng)絡(luò)事件。

    多年來，NIST SP 800-171是承包商網(wǎng)絡(luò)安全以及如何滿足DFARS合規(guī)性的標(biāo)準(zhǔn)。NIST SP 800-171準(zhǔn)則要求承包商和分包商在14個(gè)類別中展示對IT安全的合規(guī)性，這些類別涵蓋了技術(shù)領(lǐng)域，例如事件響應(yīng)，配置管理和維護(hù)時(shí)間表。它們還涵蓋培訓(xùn)，政策，風(fēng)險(xiǎn)評估和人身安全。在這14個(gè)類別中，有110個(gè)特定的遵從點(diǎn)。

    CMMC有望接管IT安全的主要監(jiān)管結(jié)構(gòu)，這是由于大量數(shù)據(jù)泄露事件引起的，并且擔(dān)心NIST指令不能提供足夠的保護(hù)。

    另一個(gè)問題是某些NIST SP 800-171組件的自我報(bào)告性質(zhì)。這意味著在競標(biāo)國防部合同時(shí)，不嚴(yán)格采用嚴(yán)格要求（以及相關(guān)成本）的承包商可能會占優(yōu)勢。

    CMMC圍繞五個(gè)合規(guī)性級別進(jìn)行組織。 基本的網(wǎng)絡(luò)衛(wèi)生（第一級）符合維護(hù)承包商信息系統(tǒng)的最基本的聯(lián)邦標(biāo)準(zhǔn)。NIST SP 800-171映射到CMMC（良好的網(wǎng)絡(luò)衛(wèi)生）之下的中層。承包商必須達(dá)到訪問CUI的級別。

    承包商保留了兩個(gè)較高級別的合規(guī)性，以表現(xiàn)出對高級和持續(xù)性網(wǎng)絡(luò)攻擊的更強(qiáng)大防御。

    CMMC如何幫助國防部？

    對于國防部而言，CMMC旨在幫助該機(jī)構(gòu)簡化對潛在承包商的評估。首先，國防部合同將定義必須在哪個(gè)CMMC級別上對承包商進(jìn)行認(rèn)證才能投標(biāo)。它還可以幫助與以前一直自我報(bào)告許多合規(guī)性要求的承包商建立公平的競爭環(huán)境。

    盡管尚未設(shè)置認(rèn)證期限，但可以通過獨(dú)立的第三方評估員來認(rèn)證企業(yè)。

    我的企業(yè)可以做什么來滿足CMMC要求？

    丞昊信息與企業(yè)合作以保護(hù)數(shù)據(jù)和系統(tǒng)。我們的網(wǎng)絡(luò)安全評估工具可幫助企業(yè)為CMMC評估做準(zhǔn)備并提供持續(xù)的合規(guī)性管理解決方案。通過 今天與我們聯(lián)系，詳細(xì)了解LaScala IT如何使您的業(yè)務(wù)合規(guī)并受到保護(hù) 。