国防部副部长负责采购和维持的CISOKatie Arrington表示：“这是国防部新的一天的开始，正如我们多年来一直在说的那样，网络安全是并购的基础，我们是认真的。”

Katie Arrington谈到了即将实施的网络安全成熟度模型认证。事实上，随着新一代网络安全成熟度模型认证(CMMC)所授权的15份合同的截止日期临近，五角大楼方面明确表示，这仅仅是个开始，未来至少对1500家承包商及分包商进行网络安全成熟度认证。

“信任(承包商)，但也要验证。”

相关规则将于今年12月1日起对新的合同正式生效。而这么做的原因是考虑到针对美国安全薄弱点的对手会试图攻击商业和军事网络，以窃取机密。而接下来国防部将强制推行的新的网络安全合同规则，会确保整个员工队伍建立能力基准，同时严格遵守美国家标准技术研究所(NIST)与国防部相关标准。因此，Katie Arrington认为，这一举措对于美国的商业，国家安全至关重要。

后续，她和团队还将继续推进，并在数天内完成过渡，直到临时规则生效。一旦临时规则制定，就会密切筹备作为试点的15份合同。这15份合同将开始向承包商之间新的、可核查的网络安全转变。预计至少1500个承包商和分包商参与项目，且全部需要获得网络安全认证。

这些合同将散布在各个服务部门，比如美国运输司令部、网络司令部，涉及导弹防御局等所谓“第四等级”机构。合同的数额与复杂程度有所不同，认证工作计划在2021财年内进行。

值得注意的是，只要一家企业能够符合部分110 NIST标准条款，并宣称将致力于遵守其余条款，即可参与竞标。简答来说，就是在竞争国防部合同时，并不需要完全证明全部的合规性。

Arrinton指出，“CMMC设定了明确的标准。审计后，企业要么处于L1级，要么不符合要求。”在客观上满足安全能力要求的企业将拥有公平的竞争起点，而五角大楼也可以将安全成本直接纳入合同，不必担心引入与合规性要求相冲突的供应商。

对于合规性标准较高的重要合同，CMMC规则还要求合同内容明确指定各分包商是否需要达到相同的合规性水平，或者会根据不同分包商所触及信息的实际敏感度为其指定更确切的具体合规性要求。

建立在认证基础之上的全新网络安全机制，意味着五角大楼终于可以摆脱那些难以解决漏洞修复问题的公司，降低了供应链安全隐患。

参考来源：breakingdefense