新たに暫定DFARSがリリースされました

 2020年9月30日、米国国防総省からこれまでのDFARS 252.204-7012の改訂、および、CMMCなどを記載した新たな3つのDFARS(252.204-7019、-7020、-7021)を追加されました。なお、これらは現時点では暫定であり、2020年11月30日に発効します。

 これまでのDFARSによる、NIST SP 800-171遵守の方法を改め、SSPによる自己申告時から国防総省独自のスコアリングによる評価を加えました。これまで、未達成の項目はPoAを書くことにより、SSPは提出できることとしていましたが、各項目毎にDoD独自の重み付けをした点数を減点することにより、スコアリングを行うことを要求しています。そのスコアは、DoDのサイト(サプライヤーパフォーマンスリスクシステム(SPRS))に公開されます。

 この評価方法は、従来のDFARSで要求していた方法を、CMMCで検討しているサプライヤー各社の対応状況を定量的に評価しようというやり方に近づける考え方です。また、自己申告と第三者評価を段階づけた体系とし、自己申告では最少レベルとする考え方も示されています。

 また、252.204-7021では、CMMCの適用を宣言しています。

Defense Federal Acquisition Regulation Supplement: Assessing Contractor Implementation of Cybersecurity Requirements (DFARS Case 2019-D041)