什么是 NIST SP 800-171 以及谁需要遵循它？

这篇文章最初出现在《工业周刊》上。 Traci Spencer 的客座博客文章，TechSolve, Inc. 的资助项目经理，该公司是俄亥俄州 MEP 的西南区域合作伙伴，是 MEP 国家网络的一部分 ^TM .

参与与政府合同相关的供应链的制造商可以预期这些奖励会带来额外的收入，否则可能无法实现。但是，成功获得并保留此类工作意味着遵守联邦采购条例 (FAR) 和国防联邦采购条例补充 (DFARS)。

FAR 是一套管理与美国政府相关的所有收购和合同程序的法规。 DFARS 作为 FAR 的补充。国防部 (DoD) 是 DFARS 背后的行政机构，但 DFARS 要求的范围不仅限于该组织。

NIST SP 800-171 是 NIST 特别出版物，它提供了保护受控非机密信息 (CUI) 机密性的推荐要求。国防承包商必须按照 DFARS 条款 252.204-7012 的要求，实施 NIST SP 800-171 中包含的建议要求，以证明他们提供了足够的安全措施来保护其国防合同中包含的涵盖的国防信息。如果制造商是 DoD、总务管理局 (GSA)、NASA 或其他联邦或州机构供应链的一部分，则必须执行 NIST SP 800-171 中包含的安全要求。

您如何实施 NIST SP 800-171？

制造商想知道他们应该做什么来实施 NIST SP 800-171 并最终符合 DFARS，以及是否有可用的专门资源来帮助他们实现这一里程碑而没有可预防的陷阱，这是可以理解的。他们应该记住的第一件事是，要符合 DFARS 标准，很可能需要与一位了解 NIST SP 800-171 要求的网络安全顾问合作。

建议小型制造商查看其所在州的制造扩展合作伙伴 (MEP) 中心。 MEP National Network™ 是一个更大的组织，将他们连接到 NIST，作为 MEP National Network™ 的一部分，您当地 MEP 中心的代表将具备 NIST SP 800-171 的工作知识，可以帮助公司为 DFARS 合规做准备。根据公司运营环境和信息系统的复杂性，它可以是一个短的或长的过程，但实施 NIST SP 800-171 是公司保护其信息的必要过程。

成功的计划意味着什么？

想要保留 DoD、GSA、NASA 和其他联邦和州机构合同的制造商需要制定符合 NIST SP 800-171 要求的计划。 DFARS 网络安全条款 252,204-7012 于 2017 年 12 月 31 日生效，涉及处理、存储或传输存在于非联邦系统（例如政府承包商使用的系统）上的 CUI。

制造商应采取的首要步骤之一是确定存在哪些差距以防止他们符合 DFARS。从那时起，他们可以决定如何进行。

制造商应该如何开始合规工作？

MEP 国家网络为需要有关公司网络安全态势信息的制造商提供专用资源，这些信息可以帮助公司了解符合 DFARS 对他们的实际意义。公司可以查看 DFARS 合规性是否适用于他们，并查看信息图表，推荐采取措施以提高工厂车间的安全性。

MEP 国家网络还提供了制造商无疑会反复参考的特定资源：NIST 自我评估手册（NIST 手册 162）。它跨越 150 多页，帮助读者评估他们的设施，以确定他们与实施 NIST SP 800-171 的距离，以帮助他们了解他们与 DFARS 合规的距离。它还有助于确定在进行改进以最大限度地提高在网络安全上花费的每一美元的影响时将精力集中在哪里。

例如，该文档的内容建议如何进行评估以及与哪些适用的员工讨论安全要求。阅读手册的制造商会注意到每个评估问题都有一个“替代方法”选项。它指的是制造商可能会在 NIST SP 800-171 中发现一些不适用于他们的要求。

在这种情况下，可以使用不同但同样有效的方法来维护安全性——只要各自的制造商将更改通知正确的政府机构并获得批准。

制造工厂代表还可以通过观看介绍手册中一些关键要素的网络研讨会来加深他们对合规要求的理解。

复杂性不应成为障碍

制造商最初可能认为政府合同的网络安全要求过于复杂，特别是如果他们的业务规模较小。

但是，使用可用资源（包括当地 MEP 中心），制造商可以意识到通过实施 NIST SP 800-171 要求，有可能符合 DFARS 并保持合规性，并为获得经济奖励和提高声誉的政府合同。

本地 MEP 中心是制造商在开始完成详细说明如何实施 NIST SP 800-171 网络安全要求的计划时使用的理想资源。

每个 MEP 中心都可以访问公共和私营部门的资源，这些资源可以帮助公司更有信心地遵守法规。地点遍布所有 50 个州和波多黎各。