ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneทุกวันนี้คุณแทบจะไม่สามารถแกว่งแมวและไม่ตีใครก็ตามที่พูดถึงโปรแกรม Cybersecurity Maturity Model Certification นั่นคือกลยุทธ์ของกระทรวงกลาโหมในการทำให้ฐานอุตสาหกรรมกลาโหมขยายตัว Chris Golden กล่าวว่าแนวทาง CMMC นั้นดีในทางทฤษฎี แต่ขาดทรัพยากรที่ใกล้เคียงกับที่จำเป็นเพื่อให้บรรลุผลสำเร็จ
เขาไม่ได้เป็นเพียงผู้อำนวยการฝ่ายความปลอดภัยของข้อมูลที่
Horizon Blue Cross Blue Shield ของรัฐนิวเจอร์ซีย์เท่านั้น แต่ยังเป็นสมาชิกผู้ก่อตั้งของหน่วยรับรองมาตรฐาน CMMC อีกด้วย เขาเข้าร่วมFederal Drive กับ Tom Teminเพื่อพูดคุยเพิ่มเติมค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
Tom Temin:คุณโกลเด้น ยินดีที่ได้ร่วมงานคริส โกลเด้น:สวัสดีตอนเช้า ขอบคุณที่มีฉันTom Temin:และคุณได้เขียนเอกสารไวท์เปเปอร์ที่มีรายละเอียดบางอย่างที่คุณรู้สึกว่าเป็นข้อบกพร่องของโปรแกรม CMMC และมาพูดถึงการจัดหาทรัพยากรนั้น โดยเฉพาะอย่างยิ่งกับข้อเท็จจริงที่ว่า แม้เพียงเล็กน้อยเพื่อให้ทุกบริษัทในฝั่งกลาโหมได้รับการรับรองใน CMMC ของตนและมีการควบคุม ก็จะต้องใช้ผู้ประเมินที่เป็นบุคคลที่สามถึง 5,000 คน ไม่มีที่ไหนใกล้เคียงกับตัวเลขนั้น และเราไปจากที่นั่น บอกความคิดของคุณกับเราที่นั่น
คริส โกลเด้น:ใช่ ดังนั้น เมื่อฉันอยู่กับหน่วยรับรอง ฉันได้สร้างและฝึกอบรมผู้ประเมินชั่วคราวทั้งหมดที่อยู่ในระบบนิเวศตอนนี้ และมีประมาณ 100 ตัวหรือมากกว่านั้น และเรายังฝึกอบรมผู้คนจำนวนมากจากพื้นที่ DIBCAC ของ DCMA ที่ทำการประเมินสำหรับ 171 ในปัจจุบัน ดังนั้นพวกเขาจะทำการประเมิน CMMC ระดับสาม ฉันเห็นข่าวเมื่อเร็ว ๆ นี้ว่าในที่สุดพวกเขาก็ทำสำเร็จครั้งแรกใน C3PAO ดังนั้น C3PO คนแรกจึงเสร็จสิ้นการประเมิน CMMC ระดับสาม
ทอม เทมิน:แค่กำหนด ค้นหาคำย่อเหล่านั้น
คริส โกลเด้น:ขออภัย DCMA เป็นหน่วยงานจัดการสัญญากลาโหม ดังนั้นพวกเขาจึงเป็นหน่วยงานที่ทำให้แน่ใจว่าคนที่มีสัญญาจะทำสิ่งที่พวกเขาควรทำ และ DIBCAC คือ Defense Industrial Base Cybersecurity Assessment Center คือตัวย่อย่อมาจาก เช่นเคย พวกเขามักจะออกไปและทำการประเมิน NIST 171 ของบริษัทเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามข้อนั้นในสัญญา และนี่คือการประเมิน CMMC ครั้งแรกแม้ว่าจะมีความใกล้เคียงกันมากและแตกต่างกันเล็กน้อยระหว่างสองสิ่งนี้ แต่พวกเขาทำ C3PAO ครั้งแรกเพราะนั่นเป็นข้อกำหนดของ C3PO ที่จะต้องประเมินระดับสามให้เสร็จก่อนที่พวกเขาจะสามารถออกไปและเริ่มทำการประเมินของตนเองใน DIB
Tom Temin:ใช่ คุณเกือบจะต้องใช้ไวท์บอร์ดเพื่อติดตามองค์ประกอบทั้งหมดของโปรแกรม CMMC –
Chris Golden:ไดอะแกรมเวนน์หลายอัน
อ่านเพิ่มเติม: ความปลอดภัยทางไซเบอร์
ทอม เทมิน:ใช่ ถึงกระนั้นหลังจากผ่านไปสองปีครึ่งการประเมินสองสามครั้งแรกก็เริ่มที่จะไหลออกมา แล้วสเกลที่จำเป็นล่ะ? ฉันคิดว่าคุณพูดถูก มีนิติบุคคล 300-350,000 ที่ดีที่จะต้องได้รับการรับรองที่นี่
คริส โกลเด้น:แผนคือกระทรวงจะปล่อยสัญญานักบินเพียงไม่กี่ฉบับ และแน่นอนว่าเราได้เห็นความเหมาะสมหลายอย่างและเริ่มต้นจาก DoD ว่าพวกเขาต้องการทำอะไรและเมื่อใดที่พวกเขาต้องการเริ่ม ฯลฯ ดังนั้นเมื่อเราใช้สัญญานำร่องจำนวนนั้น และเราได้บางอย่างกลับมา จากการคำนวณด้วยผ้าเช็ดปาก จำนวนผู้ที่จะเสนอราคาในสัญญาเหล่านี้ จำนวนผู้ใต้บังคับบัญชาที่จะมีส่วนร่วม เราคิดขึ้นมาได้ประมาณ 500 รายการ ระหว่างประเภทเมื่อสัญญาได้รับ RFI และเมื่อได้รับสัญญา ที่จะต้องทำให้เสร็จ นั่นคือที่มา
