据外媒 6 月 5 日报道,美国国家工业安全计划操作手册( NISPOM 2 )于 2017 年 5 月底开始生效。与之前版本相比存在的最显著差异是第 3-103 节新增要求,即政府承包商需对所有能够接触政府机密信息的工作人员进行大规模内部威胁培训。
NISPOM 2 将内部威胁定义为:政府内部人士利用授权访问有意或无意损害美国国家安全的潜在风险。
Bay Dynamics 联邦系统工程师托马斯·琼斯( Thomas Jones )针对新增要求带来的影响进行了三点总结:确保政府承包商了解违反规则及产生后果、指导政府承包商发现同行内部威胁行为迹象、明确规定报告违规迹象的接口人。换句话说,NISPOM 2 的一个关键点是培养政府承包商监督其他政府承包商。
目前,虽然内部威胁的严重性已得到广泛普及,但仍有人担忧 NISPOM 2 可能不会达到预期效果。一旦政府承包商不遵守条约,就意味着未经培训的工作人员将无法访问机密信息,而承包商本身还将面临失去政府承包合同的风险。然而,如果完全遵循 NISPOM 2 规定,可能会给承包商带来血本无收的巨大经济负担。
此外,NISPOM 2 可能还会产生相反效果,即降低国家工业安全性。鉴于此,包括国防部在内的政府机构均被要求独立进行缓解内部威胁操作,尽管不排除做出适当调整的可能。但无论如何,要求涉及敏感数据的政府承包商遵循 NISPOM 2 条约内容已成为签订政府合同的硬性要求,毫无回旋余地。
原作者:Kevin Townsend,译者:青楚 ,译审:游弋
from hackernews.cc.thanks for it.