[据GCN网站2019年11月18日报道]  美国防部采办助理国防部长的网络工作特别助理凯蒂·阿灵顿表示，随着美国国防部在为承包商制定统一网络安全标准的道路上不断前进，为了顺利渡过这个进程，其正考虑在联邦风险和授权管理计划上至少能够给予部分的互惠互助。

11月14日，FCW举行了CDM峰会，凯蒂•阿灵顿在会上表示，美国国防部将考虑让网络安全成熟度模型认证计划与联邦风险和授权管理计划进行互助互惠。她指出：“由于这项投资你已经达成了，我就觉得这两者之间可以进行诸多的互惠互助。”

凯蒂•阿灵顿表示，认证就是一件“要么有，要么就没有”的事情。如果一家企业本应该遵循美国国家标准与技术研究院制定的171项要求，但却只达到了其80％的要求，那么这家公司就无法通过网络安全成熟度模型认证。不过，联邦风险和授权管理计划具备互惠性，如果这有可能的话，承包商们也就不会在之前的投资上输得一塌糊涂。这种新的方式能让承包商们给自身更为安全的服务开出一个更高的价钱。她认为：“在我将网络安全成熟度模型认证视为一种技术要求的情况下，我就能够理解在实施这个计划时，就会产生一笔假设性开支。”

凯蒂•阿灵顿还表示，只要是想和美国国防部做交易的企业，不论他们目前与前者签订了什么合同、与前者的关系亲密与否，最终都得进行网络安全成熟度模型认证。

美国国防工业基础由30万家公司组成，其中的绝大多数只需进行网络安全成熟度模型认证中的 1级认证。凯蒂•阿灵顿指出：“不管怎样，你都得每天要进行基本的安全控制。”

现存的合同无法轻易就变更。因此，美国国防部打算从2020年的采购中挑选出来一批项目，以此为起点，在实施网络安全成熟度模型认证计划的过程中与有关的投标商进行密切的合作。凯蒂•阿灵顿认为：“所以，要是你在这条供应链中占据一席之地，那么五年内你就得获得认证，这决定了你的合同所要达成的具体时间。”

不过，虽然网络安全成熟度模型认证必然会成为网络安全领域的权威标准，凯蒂•阿灵顿还是坚决认为有关公司不要对外透露自己的认证状态。

凯蒂•阿灵顿表示：“不要在自己公司的网站上发布网络安全成熟度模型认证的级别认证情况。这样的信息不仅是专有知识产权，同样还存在着潜在的安全风险。如果黑客们知道你在这个认证中处于2级水平，那么他们就会知道‘你只做了哪些类型的安全控制’。如此以来，这些黑客就能够相应地调整自己的攻击方式。”

2020年夏季，网络安全成熟度模型认证计划的有关要求将成为美国国防部的多则信息请求的一部分。而在2020年秋季的某一天，这些要求也会纳入征询方案中。（国家工业信息安全发展研究中心 朱航琪）