O DoD foi instado a ser flexível
“Muitas pessoas instaram o DoD a adotar uma abordagem mais flexível”, continuou ele. “Eles queriam a pontuação mínima do DOD necessária para aprovar qualquer POA&M. Basicamente, o DOD diz que se o teste for realizado, você deverá passar em 80% dos 110 requisitos especificados naquela publicação especial. E se você não exceder 80% deles, você não será elegível para o fechamento de nenhum POA&M dentro de seis meses.”
“Mas, mesmo assim, existem cerca de 45 requisitos de Internet muito importantes nesse grupo de 110 que o DOD disse que você deve atender na primeira tentativa, ou eles não permitirão que você tenha um POA&M para cobrir isso, se você tiver um Pontuação de 80%.
Os empreiteiros são incentivados a começar com inspeções
Os empreiteiros foram instados a realizar auditorias do CMMC dentro de 60 dias após a publicação da nova regra no Registro Federal por Brian Kirk, gerente sênior de garantia de informações e segurança cibernética da empresa de contabilidade e consultoria Cherry Bekaert, que é a organização de auditoria terceirizada do CMMC (C3PAO ). Os C3PAOs são organizações independentes mandatadas para avaliar as práticas e controles de segurança cibernética dos contratantes para garantir que atendam aos padrões de segurança exigidos definidos pelo DOD.
