供應商安全保密實施

近日美國國防部發布了一份指南文件，用於指導對承包商的保密計劃進行審查，並評估其對於「國家標準與技術研究院第800-171號特刊（NIST SP 800-171）」中關於保密控制要求的執行狀況。

其中包括一份「合規」指導文件，說明了國防部機構如何評估承包商的保密控制實施狀況；一份「影響」指導文件，闡述國防部如何評估未實施保密控制的風險。

按照每一個非商業現貨採購都需遵循的《聯邦採辦指南國防補充條例DFARS》252.204-7008，「供應商要表示將落實NIST SP 800-171的安全保密要求」。國防部據此要求承包商必須就涉及的相關國防信息制定一份完整的安全保密制度計劃和行動與節點計劃。

並且「合規」指導文件還就NIST SP 800-171以外須要強化的安全保密控制的狀況，提出了合約增長要求的指南。

指南文件提出了數條在授予合同前檢查合規狀況的辦法：根據合同數據信息要求，提交安全保密制度計劃和行動；對承包商國防信息系統進行現場評估；識別出須要按照按照DFARS 252.204-7012實施保護的涉密國防信息，包括在次級供應商層級。

「合規」指導文件要求國防部必須識別出須要在信息傳遞工做中須要保護的涉密國防信息，要求主承包商識別出一級供應商在與次級供應商業務聯繫中將要接收或處理的涉密國防信息。提出每一個主承包商須要對一級供應商採起的步驟措施，包括要求供應商提供安全保密制度計劃和行動與節點計劃。

鑑於此類信息的敏感性和國防工業的競爭屬性，這種要求能夠讓這些既合做又競爭的承包商，對保密加以關注。

「影響」指導文件聚焦於某安全保密控制行爲未獲得實施後的「可能後果」，並提出解決途徑。國防部指出，「影響」指南內容「不會被用於評估對保密要求的落實，也不會評判公司執行安全保密要求的等級」。但會被國防部用於評估將涉密國防信息分享給某特殊承包商的風險。

NIST SP 800-171的執行期限已經到期，國防部在努力作到確保承包商達到保密要求。根據DFARS 252.204-7012，承包商必須具有「充分的安全保密條件」，包括達到NIST SP 800-171的最低要求。官員們正密切關注承包商的保護措施，並尋求提出更高的安全要求。

至少承包商須要審查其安全保密制度計劃和行動與節點計劃的健全性，在競爭性採辦中是否有有利。應該認真審讀招標書和補充要求，確認是否須要網絡安全相關的新要求。若是國防部在合同中加進了這些計劃，不遵照就會被視爲違約。

原文來自：https://www.secrss.com/articles/8725

本文地址：https://www.linuxprobe.com/supplier-safety.html編輯：馮瑞濤，審覈員：逄增寶