了解美国国防部 SPRS 网络安全要求的重要性

您是否遵守政府合同的网络安全要求？如果没有，或者您不知道，那么现在是时候致力于加强网络安全工作，以保障公司和国家的安全。

安全性和合规性对于 DIB 的重要性

国防工业基地 (DIB) 和美国关键基础设施 (CI) 不仅仅依赖大型企业进行制造和技术开发。它们越来越依赖中小企业 (SMB) 进行发明、创意和技术开发，以支持先进的国防系统，确保我们国家在国内和国外的安全。

然而，尽管这些小公司处理敏感的机密数据，但它们通常没有像企业那样采取强大的安全措施来保护其数据和 IP 安全。这可能有很多原因，从缺乏意识到缺乏预算和资源。然而，由于它们无法获得强大的网络安全能力，它们成为国家行为者的完美目标，这些行为者想要窃取机密数据和国家机密、发布勒索软件或中断国防供应链。

作为网络安全行业的资深人士和创新者，我相信可以采取更多措施来保护这些中小企业，以便他们能够继续开发产品和创意、发展业务并为国家服务。国防部正在采取积极措施，通过实施多项举措来提高承包商的网络安全合规性，确保至少达到基本的网络安全保护水平。其中一项举措是供应商绩效风险系统 (SPRS)，而另一种方式是通过网络安全成熟度模型认证 (CMMC) 流程。

了解 SPRS

国防部不想与可能给他们带来风险的公司做生意（尤其是过去三年针对供应链的攻击次数增加了 742% ），因此他们已经采取措施提高网络安全合规性。

国防联邦采购条例补充 (DFARS) 条款“保护涵盖的国防信息和网络事件报告”规定“承包商应为所有涵盖的承包商信息系统提供足够的安全保障”，并进一步详细说明了这些要求，其中之一就是遵守 NIST 800-171。该条款还详细说明了网络事件报告、恶意软件发现、网络事件损害评估等行动。

跟踪合规情况的一种方法是通过 SPRS，这是国防部维护的公司及其风险评分数据库。评分越低，国防部与该公司签约的可能性就越小。评分越高，国防部与该公司签约并继续签约的可能性就越大。

公司的 SPRS 评分基于其对 NIST 800-171 的遵守情况以及其整体网络安全管理和补救方法。评分由 10 个因素组成，包括评分排名、纠正措施计划、计划评估报告和疑似假冒产品。所有国防部承包商都必须确定其风险评分并将其上传到 SPRS，以便政府记录其风险。它还可以帮助国防部了解公司在网络安全合规计划方面的进展情况。

了解您的 SPRS 分数以及获得该分数的过程将有助于您在不久的将来完成 CMMC 合规流程。CMMC 和 SPRS 使用相同的评分方法，在 CMMC 内部，有些公司必须提交其 SPRS 分数。

为什么你应该关心 SPRS 的要求

人们对 SPRS 可能存在误解。由于 SPRS 是一种自我评估，因此在确定分数时可能会出现混淆。有些人可能认为他们可以输入任何分数然后就大功告成了，或者根本不要提交。

然而，报告错误分数可能会对公司产生负面影响，而不仅仅是网络威胁。由于政府合同需要一定程度的安全，没有采取这些措施的公司可能会危及他们已有的合同，并损害他们获得新合同的机会。这可能会导致虚假索赔指控或法律诉讼，正如少数几家公司（如 Verizon Business Network Services）所证明的那样，它们同意支付数百万美元，因为未能“完全满足与向联邦机构提供的信息技术服务有关的某些网络安全控制”。

最终，您应该关心 SPRS，因为采取措施改善您的安全流程和态势对于公司的安全和可持续性来说是正确的做法。

保护国家安全的未来

现在是时候致力于加强网络安全工作，以保护公司和国家的安全。如果您尚未完成 SPRS 自我评估并提交分数，请立即制定计划。如果您才刚刚开始网络安全之旅，请先专注于满足 NIST 800-171 要求。这将使您处于有利地位，可以保护您的公司免受入侵、勒索软件或 IP 盗窃，并帮助保护国家。

原文始发于微信公众号（河南等级保护测评）：了解美国国防部 SPRS 网络安全要求的重要性