信息來源：E安全

近日據外媒報道，上周美國BSA互聯網協會在致五角大樓高級官員的一封信中表示，國防部的網絡安全成熟度模型認證計劃（CMMC)可能會與預期效果相反，并可能會帶來安全風險，他們要求國防部對計劃中的一些問題進行澄清。

該協會在信函中代表了100多家公司，其中包括美國軟件聯盟，網絡安全聯盟，信息技術行業(yè)委員會，CompTIA和數字創(chuàng)新聯盟。

據悉，該互聯網協會在致國防部采購和維持事務部國防部長艾倫·洛德的信中表示，“我們擔心，目前實施的CMMC計劃在關鍵領域缺乏足夠的清晰度和可預測性經驗，可能會造成不必要的制度混亂和額外開銷， 如果不對該問題加以解決，這些問題可能導致網絡安全性降低”。

美國部分公司在信中表達了他們的擔憂，由于國防部表示將開始實施CMMC計劃，因此私營部門需要關注國防部是如何解決在認證過程中存在的嚴重問題和不確定性因素的。其中，兩家公司寫道：“考慮到DIB的風險，我們意識到在計劃實施之前解決這些問題是存在困難的，以目前的實施速度，除非在關鍵領域繼續(xù)致力于改善CMMC，否則該計劃可能會限制行業(yè)科技競爭并減少政府使用新技術的機會”。

BSA互聯網協會最后還表示，CMMC中的某些控件其實比較適用于傳統(tǒng)模型，但不一定適用于現代大規(guī)模的基礎架構，嚴格遵守這些控制措施實際上可能會為高安全性和高可用性的控制措施帶來新的風險。國防部應該考慮并結合IT行業(yè)的反饋意見，這將有助于確保DoD優(yōu)化實施結構的合理性,我們隨時準備著協助國防部優(yōu)化CMMC的有效性。

目前，五角大樓官員正在全面啟動CMMC計劃，以確保對國防工業(yè)基地的承包商能夠實施適當的網絡安全控制。與此同時，國防承包商也在證明自身對CMMC計劃條例的遵守，例如美國國家標準技術研究院出版的800-171特別刊物中就提及了計劃的相關條例，CMMC將要求獨立第三方審核員在供應商與DOD開展業(yè)務之前驗證該公司的合規(guī)性。 

國防部官員也表示，CMMC計劃將作為252.204.7012規(guī)則內容添加到《國防聯邦采購條例》補編中，并將于春季開放供公眾征詢。他們還表示，對于CMMC計劃國防部正在緩慢地推進，并強調CMMC要到2026年才能全面實施。