DoDは、契約事業者が求められるセキュリティ要件に適合していることを認定(certify)するのか?

“いいえ、本規則による新たな管理監督の枠組みは作成されません。
DFARSの252.204-7012の準拠規定は、契約事業者/下請事業者が本条項のすべての要件に適合することを求めています。契約書に署名することにより、契約事業者は契約条件を遵守することを同意したことになります。もし、これらの要件に関する管理監督が必要であると考えられた場合は、既存のFARおよびDFARS範囲内で遂行されるか、追加要件を契約条件に追加することもできます。
システムセキュリティ計画書(SSP)およびそれに伴う実装計画あるいは緩和策に関する実施計画書(PoA)がNIST SP 800-171におけるセキュリティ要件の実装または実装計画を実証します。なお、現在整備中のCMMCに基づく調達体制では認証を行うべく現在準備が行われています。”

Comment on this FAQ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA