开始
blog-header-bg

博客:制造业洞察力

回到博客

国防部新的网络安全条款对俄亥俄州东北部制造商意味着什么

2019年9月26日,星期四 写的 鲍勃•施密特

AdobeStock_207627735-4

由于高度连接的性质 制造业供应链,易受 网络漏洞 比其他行业更普遍吗. 

这就是政府打击网络安全的原因. 的 国防联邦采办条例补充 现在要求承包商和分包商提供足够的安全保障覆盖国防信息(CDI) DFARS第252条款.204-7012, “安全防护涵盖国防信息和网络正规网赌游戏报告.”

这意味着制造商必须确保合同遵守政府标准和法规. 这里有一些开始遵从的步骤.

1. 审查dfas252的政府合同.204.7012条款

如果你是350人中的一个,000家公司赢得了国防部的合同, 检查你们DFARS 252的合同.204.7012条款.

条款规定你必须保护 覆盖国防信息(CDI)驻留或通过承包商的内部信息系统或网络传输, 包括数据集、流程表、源代码和技术报告. 在审查政府合同时识别CDI, 查找标有控制标识字母B到F的信息, 获得ITAR认证, 或有出口管制指定.

从那里,承包商被要求执行 美国国家标准与技术协会(NIST)特别出版物800-171, 保护非联邦信息系统和组织中的受控非机密信息.“这详细说明了保护CDI机密性的安全要求. 合同授予后30天内, 承包商必须将任何未执行的安全要求通知国防部首席信息官.

2. 保持安全级别

虽然大多数需求关注于策略和流程, 许多控件需要安全相关的硬件或软件.

NIST SP 800-171作为基线,但在如何满足需求方面提供了灵活性.

因此,承包商有责任为CDI提供足够的安全保障.

实施意味着承包商已经完成了处理CDI系统的系统安全计划(SSP)评估, 指出不足之处, 并制定了一个带有里程碑的行动计划(PoAM)来弥补任何不足.

组织可以选择在内部实现需求来维护安全级别, 或者他们可以签约 与第三方合作以支持合规 评估、策略开发、体系结构更新或持续监视.

3. 为制衡做准备

随着越来越多的网络安全标准和要求到位, 承包商面临着新的挑战,因为他们正在努力全面实施DFARS 252的所有安全控制.204.7012.

任何时候, 国防合同管理机构(DCMA)代表可以要求查看制造商的SSP和PoAM, 因为人们期望承包商在合规的过程中执行其PoAM.  

承办商可选择进行 第三方审计 确保适当的安全控制措施到位,以保护CDI. 虽然这不是必需的,但审计员的报告会有所帮助 加强可信度 如果出现安全问题.

根据 联邦新闻网, “在网络安全方面,第三方审计让国防部知道与哪些公司合作最好.”

与正规网赌游戏合作,导航DFARS景观

如果你需要协助评估DFARS 252的合同.204.7012, 正规网赌游戏的专家可以帮忙. 我们的 网络安全专家 提供正式的网络安全威胁评估,帮助您识别供应链中的漏洞. 因此,您可以防止对公司关键基础设施的网络攻击.

咨询网络安全专家→

类别: 网络安全


什么是最小可行产品?我该如何创造最小可行产品?

一个最低可行性的产品将如何启动你的基于产品的初创公司.