合作获得合规性:2 个关键的网络安全假设如何影响国防部供应商
据估计,国防工业基地 (“DIB”) 的制造和非制造部门约有 300,000 家公司。大约 99% 的 DIB 是由员工少于 500 人的中小企业组成。
自 2017 年 12 月以来,DIB 中的所有公司都在其合同中加入了《国防联邦采购条例补充》(“DFARS”)条款(252.204-7012 - 保护所涵盖的国防信息和网络事件报告)。近三年后,DIB 中似乎出现了许多不正确的假设,其中两个需要更深入的讨论...第一个假设:自我证明没什么大不了的
由于接受了与国防部的合同条款,制造商自我证明他们使用“足够的网络安全”来保护受控非机密信息 (“CUI”)。 DFARS 条款将充分的网络安全定义为完全实施 NIST 特别出版物 800-171 中概述的 110 项安全要求。
许多制造商认为他们的网络安全计划就足够了。大多数 CMTC 客户通常通过估计他们 70% - 80% 的合规性来开始他们的网络安全参与。然而,基本差距分析后的运行平均值约为 34%。
之前的博客文章涵盖了与不遵守网络安全要求相关的经常被忽视的法律风险。归根结底,如果一家公司想与国防部 (DoD) 开展业务,就必须接受合同条款,从而自我证明网络安全状况合规。
第二个假设:只有外部 IT 提供商才是答案
许多小型企业缺乏专门的 IT 人员和资源。因此,许多制造商利用第三方 IT 服务提供商。为了让这些小型企业运营,外部服务提供商被委托对公司信息系统进行大量管理访问。通常,制造商假设一切都按计划进行。制造商需要监督他们的第三方 IT 供应商,以了解正在采取什么行动。制造商与 IT 提供商的网络旅程与参与提供商工作的活动和成果的公司协作。
此外,在暴露方面,110项安全要求中,大约有一半与第三方IT提供商通常提供的技术操作和技术解决方案直接相关。一些网络安全措施对企业运营非常重要,政府合理地假设所有国防部供应商都会主动管理自己的风险。制造商和 IT 供应商必须共同努力以获得 DoD 合规性。国防部供应商将长期承担合规责任。
综上所述,这两个关键的、不正确的假设会造成巨大的技术和合规债务。
政府网络安全合规审计正在进行中,因此最好的方法是监督您的 IT 提供商并协同工作以促进您的整体合规性。
推荐 后续步骤
1) 专注于您现有的 DFARS 要求。
2) 花时间彻底理解 NIST SP 800-171 背后的假设。
3) 建立健全的第三方供应商管理流程。
4) 花时间彻底了解合同流转义务。
有关整个监管生态系统的简要概述,以及对本文中概述的主题的更深入讨论,您可以在此处查看点播 CMTC 网络研讨会。
工业技术