นักต้มตุ๋น ผู้เบิกทาง นักบิน และกฎสุดท้าย องค์กรประเมินบุคคลที่สาม (3PAO) ศูนย์ประเมินความปลอดภัยทางไซเบอร์ฐานอุตสาหกรรมกลาโหม (DIBCAC) และข้อมูลที่ไม่เป็นความลับที่ถูกควบคุม นี่คือสิ่งที่คุณต้องรู้เกี่ยวกับโปรแกรม Cybersecurity Maturity Model Certification (CMMC) ของกระทรวงกลาโหมจากสองเหตุการณ์เมื่อสัปดาห์ที่แล้วที่ผู้นำจาก DoD และ CMMC Accreditation Body พูด นี่คือรายละเอียดล่าสุดของการริเริ่มความปลอดภัยทางไซเบอร์และห่วงโซ่อุปทานที่เป็นที่จับตามองและกระตุ้นความวิตกกังวล:
มิจฉาชีพประมาณหนึ่งปีที่แล้ว เพนตากอนเตือนผู้ค้าบุคคลที่สามที่กล่าวว่า
พวกเขาสามารถเตรียมผู้รับเหมาฐานอุตสาหกรรมกลาโหมให้พร้อมและอาจได้รับการอนุมัติภายใต้ CMMC พวกเขาทำการอ้างสิทธิ์นั้นก่อนที่ DoD จะสรุปมาตรฐานด้วยซ้ำ เมื่อ DoD ใกล้จะทดสอบมาตรฐานในฤดูใบไม้ผลินี้ นักต้มตุ๋นก็พยายามที่จะใช้ประโยชน์จากบริษัทที่ไม่สงสัยอีกครั้ง
“เรามีบุคคลหนึ่งติดต่อเราทาง LinkedIn และพวกเขาตกเป็นเหยื่อของบริษัทหนึ่งที่ไม่ได้รับการรับรอง ซึ่งพูดว่า ‘เฮ้ จ่ายฉันหน่อย ให้ฉันเข้ามา ฉันจะให้คุณได้รับการรับรอง’ และพวกเขาไม่ได้สิ่งที่จ่ายไป $10,000 และตอนนี้พวกเขากำลังกลับมาหาเรา แล้วใบรับรองของฉันอยู่ที่ไหน” Stacy Bostjanick ผู้อำนวยการนโยบาย CMMC ในสำนักงานปลัดกระทรวงกลาโหมเพื่อการได้มาและความยั่งยืนกล่าวในระหว่างการสัมมนาผ่านเว็บที่สนับสนุนโดย FedHealthIT และ G2Xchange FedCiv เมื่อวันที่ 25 มกราคม “ดังนั้นโปรดระมัดระวังและระมัดระวังในการนำผู้รับเหมาและที่ปรึกษาเหล่านี้เข้ามา ทำความเข้าใจว่าหากคุณนำใครสักคนมาปรึกษากับคุณเพื่อช่วยให้คุณเตรียมตัวสำหรับ CMMC จริงๆ แล้วควรผ่าน CMMC-AB บางส่วน การฝึกอบรม. หากคุณต้องการแน่ใจว่าคุณได้รับข้อมูลที่ถูกต้อง คุณต้องไปกับคนที่เคยผ่านการฝึกอบรม CMMC-AB และมีใบรับรองผ่านพวกเขา และด้วยวิธีนั้น คุณจะมีโอกาสน้อยลง ฉันหวังว่าจะไม่มีโอกาสเลยที่จะมีใครพยายามเอาเปรียบคุณในสถานการณ์นั้น”
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
ผู้เบิกทางทำการบ้านเพื่อให้แน่ใจว่าผู้ประเมินและองค์กรประเมินบุคคล
ที่สามได้รับการรับรองจาก CMMC-AB ปัจจุบันมีผู้ประเมิน 100 คนที่ได้รับการอนุมัติชั่วคราวจาก AB และ 73 องค์กรประเมินภายนอกที่ได้รับอนุมัติ (3PAO)
นี่เป็นคำสำคัญสำหรับผู้ขายที่ต้องทำความเข้าใจ กระทรวงกลาโหมได้ดำเนินการค้นหาเส้นทางสามแห่งโดยใช้ข้อกำหนดของ CMMC: สำนักงานป้องกันขีปนาวุธ กองทัพเรือ และสำนักงานส่งกำลังบำรุงกลาโหม MDA จัดผู้เบิกทางคนแรก ส่วนกองทัพเรือและ DLA กำลังดำเนินการอยู่ ในแต่ละกรณี DoD กำลังทดสอบแนวทางการประเมิน CMMC
“เรามีแบบฝึกหัดบนโต๊ะที่เรามารวมกัน และเราพบว่าภาษา RFI จะเป็นอย่างไร เรามีผู้รับเหมาเป็นส่วนหนึ่งและพัสดุกับสิ่งนี้ เพื่อให้พวกเขาสามารถบอกเราได้ว่าข้อมูลบางอย่างไม่เป็นประโยชน์กับเราหรือไม่ เราต้องมีข้อมูลประเภทนี้เพื่อให้สามารถเตรียมตัวและเข้าใจสิ่งที่เรากำลังมองหา” Bostjanick กล่าว “เรายังผ่าน RFP จำลองและการประชุมหลังการมอบรางวัลและความท้าทายในการตัดสินข้อพิพาท เรายังรับผู้ประเมินและดำเนินการผ่านการฝึกอบรมครั้งแรก เราใช้ทีม Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) เนื่องจากทีมตรวจจับได้ลงพื้นที่แล้วเพื่อทำการประเมินของ DoD ตามระเบียบวิธี NIST 800-171 เรารู้สึกว่าเราต้องการให้สมาชิกของทีม DIBCAC
สำหรับผู้เบิกทาง DLA นั้น DoD กล่าวว่าจะใช้ผู้ประเมิน CMMC จริงเพื่อทดสอบแนวทาง CMMC ต่อไป
ที่มา: ศาลากลาง CMMC-AB ตั้งแต่วันที่ 26 มกราคมนักบินผู้เบิกทางไม่ใช่นักบิน แต่มีความสำคัญไม่น้อย DoD จะทำบริการด้วยตนเองและ CMMC โดยให้รายละเอียดว่าผู้เบิกทางทำงานอย่างไร สิ่งที่พวกเขาค้นพบและสิ่งที่พวกเขาเรียนรู้
กระทรวงกลาโหมได้ประกาศนักบิน 7 คนแรกในเดือนธันวาคม และ Bostjanick กล่าวว่ามีอีกอย่างน้อย 3 คนอยู่ในระหว่างดำเนินการ ในระหว่างการเปิดตัวครั้งแรกของ CMMC เพนตากอนกล่าวว่ามีแผนที่จะนำร่อง CMMC ด้วยการเข้าซื้อกิจการทั้งหมด 15 รายการ Diane Knight ซึ่งเป็นผู้นำ CMMC ของ DoD สำหรับนักบินและผู้ค้นหาเส้นทางกล่าวว่าความท้าทายที่ยิ่งใหญ่สำหรับนักบินคือช่วงเวลาของการซื้อกิจการและพวกเขาจะได้รับรางวัลในปี 2564 หรือไม่