跳到主要内容
它帮助台支持

政府承包商需要知道的关于dfas和CMMC合规的一切

2021年3月25日

 

美国政府对希望与它签订合同的承包商有各种各样的合规要求. 这些遵从性要求的实施是为了保护敏感材料不落入坏人之手,并最大限度地减少其他安全问题. 最重要的政府网络安全法规之一 政府承包商是CMMC和dfas. 以下是政府承包商需要了解的关于这些法规的一切.

 

什么是CMMC?

CMMC是网络安全成熟度模型认证的缩写. 该认证由美国国防部制定,旨在为整个国防工业基地的网络安全制定标准. 它于2020年1月31日发射. CMMC的目标是限制从国防承包商窃取信息的风险. CMMC要求政府承包商的计算机系统由第三方审计机构进行审计,以验证其系统符合法规要求,以防止黑客攻击和数据盗窃.

 

什么是DFARS?

dfa代表国防联邦收购法规补充. dfa是一项旨在保护CUI的网络安全法规, 或受控的非机密信息. 像CMMC, dfas旨在确保政府承包商有足够的网络安全措施,以防止黑客攻击和数据泄露. 该规定由美国国防部于2015年12月发布. 这是对当时出现的越来越多的网络安全威胁的回应.

所有国防部承包商现在都有义务满足dfas的最低要求. dfa的最低要求是1. 提供足够的网络安全和2. 快速报告网络安全事件. 尽管这些要求看起来相对直接和简单, 提供足够的网络安全来遵守dfa实际上有点复杂. 这是因为dfas有14组不同的网络安全要求. 这14组是:

  • 媒体保护
  • 维护
  • 配置管理
  • 风险评估
  • 安全评估
  • 系统和信息完整性
  • 实物保护
  • 事件响应
  • 意识和培训
  • 访问控制
  • 审计和问责制
  • 识别和身份验证
  • 安全评估
  • 系统和通信保护

所有不符合dfas要求的国防部承包商都可以被国防部终止合同.

 

什么是NIST 800-171?

NIST 800-171是由美国国家标准与技术研究所制定的一套网络安全标准. 这一套标准就是dfas所围绕的. 美国国家技术研究院(National Institute of Technology)在仔细研究网络安全威胁并评估如何防范这些威胁后,制定了这些标准. 现在,任何想要与国防部合作的承包商都必须满足这个标准.

 

遵守CMMC和dfa

对于许多政府承包商来说,遵守CMMC和dfas可能是一个重大挑战. 如果承包商只有少数IT专业人员为其员工工作,这尤其正确. 云技术使用的增加, 移动电话, 和应用程序使得小型it部门很难跟上业务的所有it挑战, 更不用说遵守CMMC和dfa了. 然而, 不遵守这些规定可能意味着失去与国防部签订合同的能力.

作为一个结果, 许多政府承包商正在转向管理服务提供商(MSPs),以帮助他们遵守CMMC和dfa. 很多这样的公司, 将CMMC和dfa遵从性外包给MSP可能是一个伟大的决定.

 

将CMMC和dfa遵从外包给MSP的优势

MSPs专门从事硬件、软件、云计算和IT的所有其他关键方面. 为CMMC和dfas合规与MSP合作,可以从政府承包商的肩上卸下处理这些法规的所有负担. 这意味着政府承包商自己的IT专业人员将不必把所有的时间和精力都用在这些任务上,而可以专注于他们的正常职责.

也, 当MSP处理CMMC和dfas遵从性时,它允许整个承包业务回到其主要业务流程,以保持产生最高可能水平的收入.

另外, 因为许多MSPs专门从事网络安全、CMMC和dfas合规, 它们实际上可以帮助合同商更安全,免受网络威胁. 最终, 这可以帮助政府承包商防止代价高昂的黑客攻击和数据泄露, 以及CMMC和dfas违规可能导致的政府合同损失.

 

选择正确的MSP

适用于希望将CMMC和dfas合规工作外判的政府承包商, 选择正确的MSP是关键. 如果您需要找到一个MSP来执行CMMC和dfa遵从性, 那么你应该找一个在这个领域有经验的MSP. 这些规定只有几年的历史, 所以不可能找到一家在这方面有数十年经验的公司. 然而, 你应该仍然能够找到一个MSP,在处理这些法规方面已经证明了成功的记录.

 

一旦被雇佣,MSP会做什么?

最初,MSP将执行一个差距分析. 在这个分析, MSP将评估您现有的网络安全防御和所有其他计算机系统. 在分析, 为了符合CMMC和dfa法规,MSP将能够准确地告诉您的公司缺少什么.

在此分析完成之后, MSP将创建一个计划,以修复您的网络中可能存在的任何缺口,以完全符合法规. 一旦MSP使您的公司掌握了CMMC和dfas法规的速度, 你将能够投标要求CMMC和dfas遵守的政府合同. Or, 如果你已经有了合同, 你就可以放心了, 知道你不会因为不遵守规定而失去合同.

一个好的MSP将继续在每天的基础上监视您的安全状态, 做出任何必要的改变,并报告发生的任何事件. 根据CMMC和dfas的规定, 承包商最多有72小时报告任何重大网络攻击或数据泄露. So, 你们的MSP有责任确保任何事件在72小时内通过适当的渠道报告.

 

持续合规和网络安全保护

网络罪犯总是创造新的方法来窃取数据和实施网络攻击. 作为一个结果, 政府承包商有必要继续保持对袭击的持续警惕. 仅仅雇佣一个MSP使您的公司一次符合CMMC和dfa是不够的. 未来很可能会对CMMC和dfas指南进行补充.

为了让您的政府承包业务有最好的机会遵守CMMC和dfa,并保护您的业务免受网络攻击, 最好将网络安全、CMMC和dfa合规持续外包给MSP.

 

MSPs的CMMC和dfa符合性

尽管MSPs经常帮助政府承包商遵守CMMC和dfas法规, 同样重要的是,他们, 他们自己都遵守了. So, 所有想要帮助其他公司遵守这些法规的MSPs必须首先对法规有一个彻底的理解. 全面遵守CMMC可能需要几个月的时间. 所以,最好尽快开始.

 

一个新的标准

尽管CMMC的规定只有大约一年的历史, 它们正迅速成为网络安全要求的新标准. 这并不意味着dfa已经过时. 事实上,你将被要求遵守这两项规定. 然而, 因为CMMC是政府承包商网络安全合规的新标杆, 对于所有希望获得国防部合同的承包商来说,完全符合CMMC是极其重要的. 任何没有做到这一点的公司都有落后于竞争对手并失去收入的风险.

 

结论

如果您的业务正在努力跟上dfa和CMMC法规, 那么你应该考虑把你的业务外包给一个有资格的MSP,可以为你处理这个任务. 从长远来看, 将dfa和CMMC遵从外包给高质量的MSP可以为您节省大量的时间, 钱, 和压力,同时也使你的业务保持在最佳水平运行. 您越早决定开始外包CMMC和dfa遵从性,就越好.

99499威尼斯安卓版下载.

即使你不知道自己到底需要什么, 我们的专家可以很容易地讨论您的项目和制定需求. 我们将快速地帮助构建它,并添加一些结构,以便能够正确地估计并最终开发和交付.