美国政府希望加强对关键采购的监管信息(CUI)”被呈现。因此,与本文件最相关的是组织内部和外部的审计员,他们将根据拜登政府2021年5月发布的行政命令以及五角大楼网络安全学位模型认证计划的影响在网络安全政策中发挥核心作用。NIST发布的SP800-172A指南中写道,“在评估过程中,评估人员必须获得适当的证据,以便政府部门可以确定他们是否满足CUI增强的安全要求。这些证据可以从多个来源获得,包括Self-评估、第三方独立评估、政府自我评估和其他类型的评估,这取决于制定增强安全要求的机构和进行评估的组织的需要。”对此,美国政府早就警告说,在保护机密信息的过程中,还有很多非机密但非常敏感或有价值的信息也需要保护,以防止美国实体的知识产权被获取。针对此类“受控但非机密信息”的防护也是五角大楼网络安全成熟度模型认证(CMMC)计划的重点。此前,五角大楼官员曾以CMMC为借口,因为国防承包商遵循800-171准则的要求进行对“受控非机密信息”进行了相应的安全保护,但最终以失败告终。CMMC将创建一个新的独立第三方审计生态系统,以检查承包商是否遵守NIST网络安全框架中也大量引用的安全控制措施。根据拜登政府的要求,必要的评估似乎很重要现在可以肯定的是,一些承包商可能会再次被允许为只是自我评估的政府工作。在SolarWinds事件之后,2021年5月的行政命令也依赖于符合安全标准的证明,而美国总务管理局的联邦风险和授权管理计划则要求对云提供商的安全性进行第三方认证。无论如何,预计该机构官员将在不久的将来与他们的承包商开展更多工作,以确定此类评估所需的适当范围和保证水平。根据NIST的说法,“作为所选增强安全要求的一部分的组织定义的参数包含在评估过程的初始确定声明中。评估对象与被评估的特定项目相关联,这些对象可以包括规范、机制、活动和个人。规范是与系统相关的基于文档的工作(包括安全策略、程序、计划、要求、功能规范、体系结构设计)。“SP-800-171法规包含确定评估机构评估能力的指南。周二发布的指南附件显示了三种评估方法,即检查、研究和测试,以满足不同级别的评估人员开展评估活动。NIST表示,每一种评价方法的应用都是按照评价的深度、评价的范围、评价程序从基础到重点再到综合来定义的,每一种评价方法的高低与机构规定的要求有关参考来源:https://www.nextgov.com/cybersecurity/2022/03/nist-releases-guidance-assessing-compliance-core-cybersecurity-publication/363166/
