供应商安全保密实施

近日美国国防部发布了一份指南文件，用于指导对承包商的保密计划进行审查，并评估其对于“国家标准与技术研究院第800-171号特刊（NIST SP 800-171）”中关于保密控制要求的执行状况。

其中包括一份“合规”指导文件，说明了国防部机构如何评估承包商的保密控制实施状况；一份“影响”指导文件，阐述国防部如何评估未实施保密控制的风险。

按照每一个非商业现货采购都需遵循的《联邦采办指南国防补充条例DFARS》252.204-7008，“供应商要表示将落实NIST SP 800-171的安全保密要求”。国防部据此要求承包商必须就涉及的相关国防信息制定一份完整的安全保密制度计划和行动与节点计划。

并且“合规”指导文件还就NIST SP 800-171以外须要强化的安全保密控制的状况，提出了合约增长要求的指南。

指南文件提出了数条在授予合同前检查合规状况的办法：根据合同数据信息要求，提交安全保密制度计划和行动；对承包商国防信息系统进行现场评估；识别出须要按照按照DFARS 252.204-7012实施保护的涉密国防信息，包括在次级供应商层级。

“合规”指导文件要求国防部必须识别出须要在信息传递工做中须要保护的涉密国防信息，要求主承包商识别出一级供应商在与次级供应商业务联系中将要接收或处理的涉密国防信息。提出每一个主承包商须要对一级供应商采起的步骤措施，包括要求供应商提供安全保密制度计划和行动与节点计划。

鉴于此类信息的敏感性和国防工业的竞争属性，这种要求能够让这些既合做又竞争的承包商，对保密加以关注。

“影响”指导文件聚焦于某安全保密控制行为未获得实施后的“可能后果”，并提出解决途径。国防部指出，“影响”指南内容“不会被用于评估对保密要求的落实，也不会评判公司执行安全保密要求的等级”。但会被国防部用于评估将涉密国防信息分享给某特殊承包商的风险。

NIST SP 800-171的执行期限已经到期，国防部在努力作到确保承包商达到保密要求。根据DFARS 252.204-7012，承包商必须具有“充分的安全保密条件”，包括达到NIST SP 800-171的最低要求。官员们正密切关注承包商的保护措施，并寻求提出更高的安全要求。

至少承包商须要审查其安全保密制度计划和行动与节点计划的健全性，在竞争性采办中是否有有利。应该认真审读招标书和补充要求，确认是否须要网络安全相关的新要求。若是国防部在合同中加进了这些计划，不遵照就会被视为违约。

原文来自：https://www.secrss.com/articles/8725

本文地址：https://www.linuxprobe.com/supplier-safety.html编辑：冯瑞涛，审核员：逄增宝