网络安全

10月21日, 2016, 美国国防部(DoD)发布了《国防联邦采办条例补充(DFARS) 252》的最终规则.204-7012，“保护涵盖的防御信息和网络事件报告.“这代表了国防部正在努力防止对重要非机密信息的不当访问. 结果是, 承包商必须为“被覆盖的承包商信息系统”提供安全保障,，包括实施美国国家标准与技术研究院(NIST) SP 800-171的安全控制. “覆盖承包商信息系统”是由承包商拥有或运营的非机密信息系统, 这也处理了, 商店, 或传输覆盖防御信息(CDI).

APL的年度声明和认证包括关于贵公司处理CDI能力的问题, 例如受控非机密信息(CUI), 符合网络法第252条.204-7012. 巴黎人官方网站-官网首页建议您在认证过程中咨询您的IT安全专业人员和法律顾问.

巴黎人官方网站-官网首页的政策是只与向巴黎人官方网站-官网首页保证他们有能力处理CDI的供应商共享CDI. 特别是DFARS 252.204-7019要求承包商在与CUI合作之前进行自我评估，并提交给供应商绩效风险系统(SPRS). DFARS 252.204-7020还要求对供应商进行验证.

适用的下行条款包括在APL对其合作供应商的条款和条件中. 要求在任何分包合同或涉及CDI的类似合同协议中贯彻DFARS条款, 包括崔. 这一条款必须不加修改地继续下去. 巴黎人官方网站-官网首页感谢您的合作，以最大限度地降低风险并保护巴黎人官方网站-官网首页的敏感信息.

供应商绩效风险系统资源

• 供应商绩效风险系统指导
• 供应商绩效风险系统网站 (disa.密耳)
• 保护非联邦信息系统和组织中的受控非机密信息 (NIST技术系列出版物)

In 2023, 巴黎人官方网站-官网首页预计国防部网络安全成熟度模型认证(CMMC)将生效. APL建议巴黎人官方网站-官网首页的合作伙伴熟悉CMMC需求，并提前做好实施计划.

CMMC是一个认证过程，审查公司保护联邦合同信息(FCI)和CUI的能力. CMMC将网络安全标准和最佳实践与评估的成熟度级别相结合, 从基本的网络卫生到高级协议. 所有国防部承包商和分包商, 只提供商业现货的公司除外, 在处理涉及的信息之前必须由中立的第三方进行审计和评分. 经过验证的第三方网络安全认证机构将进行审核，以确认组织的网络安全成熟度级别.

招标可能限制使用低于指定CMMC水平的供应商. 供供应商处理, 商店, 或传输CUI, 在授予之前，该组织将需要被认证为符合所要求的水平. CMMC分数将由国防部跟踪.

供应商将负责确保其组织能够满足要求, 来源第三方认证机构, 进行评估, 并从认可的第三方实体报告其CMMC审计和分数. CMMC认证机构目前正在制定接受认证的流程.

巴黎人官方网站-官网首页建议您与您的IT安全专业人员检查，以便为CMMC合规性做好准备. 使用下面的资源了解更多关于CMMC的信息.

CMMC资源

• 保卫国防工业基地:CMMC 2.0 (负责采办和维持的国防部副部长办公室)
• 数码AB网站 (原CMMC认证机构)
• 保护非联邦信息系统和组织中的受控非机密信息 (NIST技术系列出版物)
• 国防工业基地(DIB)网络安全门户