ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneในช่วงต้นปีหน้า ผู้รับเหมาด้านกลาโหม ซึ่งมีจำนวนหลายแสนคน จะต้องมีทักษะและการควบคุมความปลอดภัยทางไซเบอร์ขั้นต่ำสิ่งหนึ่งที่ผู้รับเหมาไม่สามารถพูดได้ก็คือพวกเขาจะประหลาดใจกับทุกสิ่งในโปรแกรม Cybersecurity Maturity Model Certification บางครั้งรูปแบบสำหรับกฎและข้อกำหนดใหม่คือการพัฒนาแบบปิดตาย จากนั้นส่งแบบร่างที่เสร็จแล้วไปยังฝ่ายที่ได้รับผลกระทบเพื่อแสดงความคิดเห็น
ข้อเสนออาจห่างไกลจากเครื่องหมายที่ต้องใช้เวลาหลายปี
ในการกลับไปกลับมาก่อนที่หน่วยงานจะทำให้ถูกต้องหรืออย่างน้อยก็ยอมรับได้สำหรับผู้รับเหมา
ข้อมูลเชิงลึกโดย Carahsoft: เป็นเรื่องยากที่จะไปหนึ่งวันโดยไม่ได้ยินคนในรัฐบาลพูดถึงประสบการณ์ของลูกค้า มันสมเหตุสมผลแล้วที่เอเจนซี่ให้บริการตลอด 24 ชั่วโมงทุกวัน ebook เล่มใหม่ของเราเสนอกลยุทธ์จากผู้นำรัฐบาลกลาง 11 คนและผู้เชี่ยวชาญในอุตสาหกรรม 5 คนเพื่อช่วยปรับปรุง CX ในขณะนี้
ในกรณีนี้ กระทรวงกลาโหมโดยเฉพาะสำนักงานปลัดกระทรวงเพื่อการได้มาและความยั่งยืนกำลังคิดออกมาดัง ๆ มีการเปิดตัวชุดโมเดลที่มีตัวเลขเศษส่วน เช่น ซอฟต์แวร์รุ่นก่อนวางจำหน่าย ซึ่งนำไปสู่เวอร์ชัน 1.0 ซึ่งจะครบกำหนดในเดือนกุมภาพันธ์
สัปดาห์ที่แล้วสำนักงานโปรแกรมได้ออกDraft CMMC Model v0.7 เวอร์ชันนั้นมาถึงเพียงไม่กี่สัปดาห์หลังจากเวอร์ชัน 0.6
Bob Metzger ทนายความและผู้เชี่ยวชาญด้านนโยบายความปลอดภัยทางไซเบอร์จาก Rogers, Jones, O’Donnell เห็นด้วยกับลักษณะของฉันเกี่ยวกับ DoD ที่ “สวนทาง” การคิดทีละขั้นตอนในที่สาธารณะ เพื่อให้ผู้รับเหมาสามารถติดตามเวอร์ชัน 1.0 ได้
“นี่เป็นการดำเนินการสาธารณะอย่างมาก” Metzger กล่าว
ในการสัมภาษณ์ของเรา นอกเหนือจากการเผยแพร่เป็นประจำที่เผยให้เห็นความคิดเชิงพัฒนาการแล้ว โปรแกรม CMMC ยังได้ดำเนินการ “ทัวร์ฟัง” โดยใช้สมาคมผู้รับเหมาต่างๆ
และแบบเคลื่อนที่เร็ว Ellen Lord จาก DoD ประกาศโปรแกรม CMMC ในเดือนกรกฎาคมเท่านั้น Metzger เรียกจังหวะการพัฒนาว่า “ไม่ธรรมดา ถ้าไม่ธรรมดา”
“เคลื่อนไหวเร็ว” และ “โปร่งใส” ไม่ใช่คำที่คุณได้ยินเกี่ยวกับกระทรวงกลาโหมบ่อยพอ และ CMMC ยังเป็นโปรแกรมที่สำคัญอย่างยิ่ง ผู้รับเหมามีข้อมูลกลาโหมหลายเทราไบต์ เป็นที่ทราบกันดีว่าหลายตันรวมถึงรัฐบาลเองที่ต้องสูญเสียไปจากการกรองไปยังหน่วยงานต่างประเทศในแต่ละปี อันดับแรกคือประเทศจีน ศัตรูต่างชาติปล้นทรัพย์สินทางปัญญาของสหรัฐฯ DoD ไม่สามารถแก้ไขปัญหาได้หากไม่บังคับใช้การรักษาความปลอดภัยทางไซเบอร์ที่ดีขึ้นผ่านห่วงโซ่อุปทาน ในการทำเช่นนี้ไม่เพียงทำตามคำสั่งทางกฎหมายและระเบียบการจัดซื้อจัดจ้างกลาโหมที่กว้างกว่าชื่อ DFARS 252.204-7012 อย่างร่าเริง ในความเป็นจริง มันกำลังทำงานเพื่อขัดขวางการไหลเวียนของข้อมูลความมั่นคงของชาติไปสู่มือศัตรู
การเข้าถึงแม้แต่ระดับพื้นฐานของการรับรองระดับ 1 นั้น ผู้รับเหมาต้องการการยกที่หนักหน่วง พวกเขาจะต้องแสดงให้เห็นว่ามีการควบคุมทางเทคนิคที่จำเป็น และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการรักษาเครือข่ายและข้อมูลให้ปลอดภัย
โปรแกรม CMMC ชิ้นหนึ่งยังไม่อบเต็มที่ นั่นคือระบบของภาคเอกชน ผู้ประเมินบุคคลที่สามที่จะรับรองผู้รับเหมาแต่ละรายว่ามีคุณสมบัติด้านความปลอดภัยทางไซเบอร์ในระดับหนึ่ง ในบางแง่ จะคล้ายกับโปรแกรม FedRAMP สำหรับรับรองความปลอดภัยทางไซเบอร์ของผู้ให้บริการระบบคลาวด์FedRAMP ใช้เวลาหลายปีในการเติบโต และแม้กระทั่งตอนนี้ก็ยังมีช่องว่างอยู่ และหน่วยงานหลายแห่งเดินหน้าให้บริการคลาวด์โดยไม่สนใจ FedRAMP
นั่นอาจเป็นเหตุผลหนึ่งที่ทำให้อุตสาหกรรมกังวลเกี่ยวกับสิ่งที่เกิดขึ้นกับการสิ้นสุดการรับรองของ CMMC Metzger กล่าวว่า “มีความสับสนมากมายหากไม่ใช่ความวิตกกังวลโดยสิ้นเชิงในอุตสาหกรรมเกี่ยวกับสถานะและการดำเนินงาน
