但是这个一个要求并未完全满足确保国防部供应商已实施适当网络安全实践的要求。为了解决这个问题,国防部于2019年提出了DFARS正式案例– D041“战略评估和网络安全认证要求”。启动程序以实施一种方法来评估国防部承包商对NIST(SP)800 – 171的遵守情况以及对受控非保密信息(CUI)的保护。为此,在2019年5月底对合作的研究机构卡内基梅隆大学和约翰霍普金斯大学应用物理实验室有限责任公司提出了整合现有体系标准,开发网络安全成熟度模型认证(Cybersecurity Maturity Model Certification(CMMC))框架的要求,将要保护的信息数据类型和敏感性以及相关的威胁范围相结合,形成来自多个网络安全标准、框架和其他参考的成熟流程和网络安全最佳实践。
CMMC解决了DFARS的监督和保证的空白,CMMC计划将需要对DIB承包商进行独立的网络安全评估,然后才能完成适用的DoD合同。第三方评估机构(C3PAO)的认证和CMMC评估人员的认证。它将适用于所有30万家全球承包商,美国国防部将仅接受经过认可的C3PAO组织的CMMC评估,因此承包商将必须确认他们符合国防部在建议书(RFP)中定义的网络安全成熟度级别。
网络安全成熟度模型认证(CMMC)框架包含:
17个功能域,43个功能
跨五个级别的5个流程来衡量流程的成熟度;
跨五个级别的171个实践以衡量技术能力。
CMMC 成熟度过程使网络安全活动制度化,以确保它们是一致的、可重复的和高质量的。
成熟度等级过程描述:
CMMC 1.0 与NIST SP800-171对应表
信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:
BS7799-1,信息安全管理实施规则。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;
BS7799-2,信息安全管理体系规范。第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为标准版。
规定了在组织范围内建立,实施,维护和持续改进信息安全管理系统的要求。 它还包括针对组织需求量身定制的信息安全风险评估和处理要求。 ISO/IEC 27001:2013中列出的要求是通用的,旨在适用于所有组织,无论类型,规模或性质如何。
该标准规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求;它基于风险管理的思想,旨在通过持续改进的过程(一个基于“计划、执行、检查、行动”(PDCA 模型)使组织达到有效的信息安全。该标准使用了和 ISO 9001、ISO 14001 相同的管理体系过程模型,是一个用于认证和审核的标准。
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。