"DFARS規則には、契約事業者が要求されたセキュリティ要件の実装状況を政府が監視するための独自の要件または追加要件を追加していません。これらの要件における契約事業者の適合性については、既存の一般的に適用される契約事業者のコンプライアンス監視メカニズムの対象になります。具体的には
- 契約事業者が適切なシステムセキュリティ計画書(SSP)とそれに伴う実施計画書(PoA)を持っていることを確認します。
- 契約事業者がサイバーインシデント報告するために必要なDoDで承認された外部認証局(ECA)発行の中位保証レベルの公開鍵基盤(PKI)証明書を所持していることを確認します。
- 必要に応じて、管轄政府機関および契約事業責任者との調整の上、政府の外部評価チームを、適用可能な契約事業者施設に送り込みます。"