เมื่อไม่กี่สัปดาห์ก่อน รายละเอียดของกระบวนการประเมินและการรับรองภายใต้โครงการ Cybersecurity Maturity Model Certification (CMMC) ของกระทรวงกลาโหม รั่วไหลหรือถูกเปิดเผยต่อสาธารณะโดยไม่ได้ตั้งใจ แม้ว่าจะเป็นเรื่องง่ายที่จะมุ่งเน้นไปที่รายละเอียดของข้อกำหนดหรือค่าใช้จ่ายหลายร้อยหรือหลายพันดอลลาร์ในการเป็นผู้ฝึกสอนหรือผู้รับรอง สิ่งที่ข้อมูลจริง ๆ ได้ทำให้กระจ่างเกี่ยวกับความคิดของหน่วยงานรับรองมาตรฐาน (AB) สิ่งสำคัญคืออย่ามุ่งเน้นไปที่ราคาหรือข้อมูลก่อนการตัดสินใจที่ชัดเจนอื่นๆ
สิ่งสำคัญที่ต้องให้ความสำคัญเกี่ยวกับรายละเอียดที่ CMMC
เปิดเผยคือคำถามต่อเนื่องว่าความพยายามนี้ยังใหญ่เกินไปที่จะประสบความสำเร็จหรือไม่
“คำถามสองข้อที่ผุดขึ้นมาในใจเมื่อมองดูว่าเราอยู่ที่ไหน ทำไมพวกเขาถึงรีบเร่ง? พวกเขาทำให้สิ่งนี้ซับซ้อนเกินไปหรือไม่” Bill Solms ผู้จัดการทั่วไปและประธานฝ่ายโซลูชันภาครัฐของ QOMPLX ซึ่งเป็นพันธมิตรกับ Dunn & Bradstreet เพื่อช่วยบริษัทต่างๆ ในการเตรียมการตรวจสอบ CMMC กล่าวในการให้สัมภาษณ์กับ Federal News Network “DoD ทราบดีว่านี่เป็นเรื่องสำคัญและทรัพย์สินทางปัญญาที่สำคัญของเราทำให้เราได้เปรียบเหนือศัตรูที่อาจเกิดขึ้น และเรารู้ว่ามันได้รับการเก็บเกี่ยวอย่างจริงจังในช่วงหลายปีที่ผ่านมา ดังนั้น สิ่งที่จำเป็นต้องทำโดยเร็วเพื่อหยุดสิ่งนั้น และคุณไม่สามารถตำหนิ DoD ที่ต้องการเผยแพร่สิ่งนี้อย่างรวดเร็ว ในทางกลับกัน คุณมีอุตสาหกรรมที่บอกว่าสิ่งนี้กำลังจะเกิดขึ้นอย่างรวดเร็วและมีความไม่แน่นอน ยังไม่ชัดเจนว่าจะมีเวลาใดที่จะขจัดรอยเหี่ยวย่น”
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
ความไม่แน่นอนและความซับซ้อนที่ Solms พูดถึงนั้นรุนแรงขึ้น
เมื่อมีข้อความผสมจาก DoD เกี่ยวกับจำนวน “ผู้เบิกทาง” ที่จะทดสอบแนวทาง CMMC และเมื่อการฝึกอบรมเบื้องต้นและการร้องขอข้อมูลจะเผยแพร่“DoD และ AB สมควรได้รับเครดิตอย่างมากสำหรับภารกิจที่พวกเขากำลังทำอยู่ ฉันสนใจที่จะดูว่ามันจะออกมาเป็นอย่างไร” Brian Haugli หุ้นส่วนผู้จัดการและผู้ร่วมก่อตั้ง SideChannel บริษัทที่ปรึกษาด้านความปลอดภัยในโลกไซเบอร์และผู้ที่โพสต์ข้อมูล CMMC สาธารณะที่รั่วไหลหรือทำผิดพลาดบน LinkedIn กล่าว “ฉันหวังว่าพวกเขาจะไม่สร้างสิ่งที่จะเข้าข้างบริษัทหนึ่งมากกว่าอีกบริษัทหนึ่ง กระบวนการประเมินและการรับรองของ CMMC จะต้องยุติธรรมและเท่าเทียมกันสำหรับใครก็ตามที่ต้องการมีส่วนร่วม มีงานมากมายรออยู่ข้างหน้าทุกคนเพราะไม่ใช่เรื่องเล็กที่จะทำให้ CMMC ดำเนินต่อไป”
ข่าวดีสำหรับหลายบริษัทคือหน่วยงานรับรองมาตรฐาน CMMC คาดว่าจะออกรายละเอียดขั้นสุดท้ายเกี่ยวกับการรับรองและแผนการประเมินในวันที่ 1 มิถุนายนหรือประมาณวันที่ 1 มิถุนายน
ในการเตรียมการขั้นสุดท้าย
Mark Berman ประธานคณะกรรมการการสื่อสารขององค์กรกล่าวในการให้สัมภาษณ์ว่ารายละเอียดและกระบวนการจำนวนมากจะชัดเจนขึ้นในต้นเดือนมิถุนายน
“ในช่วง 3 หรือ 4 เดือนที่ผ่านมา เราได้ทำงานเพื่อสร้างระบบโดยนำสิ่งที่ดีที่สุดที่เคยทำมาก่อน แต่ไม่ใช่แค่การลอกเลียนแบบ เพราะเราจะไม่มีอยู่จริงหากระบบที่สมบูรณ์แบบถูกสร้างขึ้น “เบอร์แมนกล่าว “เรากำลังเตรียมขั้นสุดท้ายที่จะให้รายละเอียดเกี่ยวกับวิธีการทำงานขององค์กรประเมินภายนอกซึ่งเป็นที่ตั้งของผู้ประเมินที่ได้รับการรับรอง รวมถึงกรอบการทำงานและแผนงาน เรายังไม่ได้กำหนดราคา แต่เราอยู่ในจุดที่เรากำลังตกลงในพื้นที่ เราได้แก้ไขแผนของเราและได้พูดคุยและรับฟังผู้มีส่วนได้ส่วนเสียทั้งในและนอกภาครัฐเป็นส่วนใหญ่ เพื่อให้แน่ใจว่าแผนนี้มีราคาไม่แพง สม่ำเสมอ และชัดเจนสำหรับอุตสาหกรรมทั้งหมด”
Berman กล่าวว่าในวันที่หรือประมาณวันที่ 1 มิถุนายน อุตสาหกรรมจะสามารถเห็นข้อกำหนดเบื้องต้น ใบสมัคร ค่าธรรมเนียม และข้อกำหนดการฝึกอบรมสำหรับผู้ประเมินและองค์กรบุคคลที่สาม (C3PAOs)
เขากล่าวว่า C3PAO จะเป็นองค์กรและผู้ประเมินรายบุคคลจะทำงานให้กับพวกเขาหรือเป็นผู้รับจ้างอิสระ
ผู้รับเหมาจะมีส่วนร่วมกับ C3PAO เพื่อให้ได้รับการรับรองจาก CMMC องค์กรประเมินที่เป็นบุคคลที่สามมีหน้าที่รับผิดชอบต่อหน่วยรับรอง
