如果贵公司为美国国防总承包商提供生产服务,是否担心PCB、PCB组件以及电缆和线束的受控非保密信息(controlled unclassified information,简称CUI)是安全的?产品的设计和开发过程是否安全?受控技术信息(controlled technical information,简称CTI)是否安全且受到保护?贵公司选择的供应商是否维护了质量体系、供应链风险管理流程、保护产品和服务免受未经授权访问的安全系统,以及电子和实际物料的监管链政策?
此外,如果贵公司为美国国防总承包商服务,你如何了解供应商是否遵守了ITAR和EAR法规?
CUI和CTI
贵公司需要可证明其有能力达到或超过行业标准的值得信赖的供应商,以确保贵公司的CUI和CTI受到保护。应该获取供应商对这些问题的明确答复。
让我们定义一些术语。受控非保密信息(CUI)是指需要根据适用法律、法规和政府政策保护或传播控制的信息,但不属于保密信息。受控技术信息(CTI)是CUI的子集,是军事或航空应用的技术信息,受访问、使用、复制、修改、性能、显示、发布、披露或传播控制。换言之,CUI和CTI对于保护并不惜一切代价防止此类机密信息被窃取尤其重要。
为什么CUI和CTI需要保护?答案很简单。国防公司花费大量资金和无数时间开发下一代技术和设备,以保护我们的国家。美国公民/个人知道他们的生活方式受到国家军事和政府机构的保护,感到欣慰。如果关键信息(CUI或CTI)被窃取并出售给其他组织或国家,我们的安全性就会受到质疑。美国军方和政府保护我们的能力就会令人担忧。这就是为什么保护CUI和CTI变得如此重要。
IPC-1791和QML的诞生
国防部(Department of Defense,简称DoD)担心,国防系统PCB和组装设计师和制造商的可信赖性不够。因此,国防系统的要求,包括美国弹药清单(USML)上使用电子产品的所有产品,都容易受到恶意篡改、供应链中断、假冒部件和材料、物理安全、网络安全以及质量和产品保证不达标的影响。虽然有保护国防电子设备的要求,但项目经理和国防部承包商并没有始终如一地实施这些要求。
大约6年前,IPC与PCB及互连技术执行代理机构共同组建了IPC委员会(2-19b可信赖供应商工作组),负责开发可信赖供应商标准。该团队由行业和政府代表组成,将信任的4大支柱定义为:质量、供应链风险管理、安全和监管链。开发该标准是为了确保要求切实可行、明确清晰且可衡量。2018年8月,发布了《IPC-1791可信赖的电子设计师、制造商和组装商要求》标准。如今,该标准已发布了B版,委员会正在积极开发C版。2019年秋季,执行代理机构和IPC验证服务部门开发了IPC-1791 QML(合格制造商名单)项目。IPC验证服务部门继续鉴定公司地点,并在QML1上显示可信赖的供应商。
IPC-1791标准是什么?为什么它如此重要?本标准的范围侧重于为PCB设计、制造、组装以及电缆和线束组装组织及公司提供政策和程序的最低要求,以成为要求交付产品和服务的完整性具有高度置信度市场的可信赖资源。目前,该标准的目标是军事、国防和航空航天领域。未来IPC委员会计划瞄准商业行业(例如:汽车、医疗、电信、工业等)。
使用本标准的好处是确保客户的供应商:
- 可维护质量体系(AS9100)
- 可维护供应链风险管理(SCRM)系统,以应对威胁、假冒破坏、物料过时,并审查其合格供应商名单上的供应商
- 提供安全要求(包括保护CUI/CTI免受未经授权的访问,证明符合NIST SP 800-171、ITAR和EAR法规)
- 制定监管链政策,控制电子和实际物料,提供可追溯性,处理废料,并跟踪发运的成品
该标准还涵盖非美国电子设计、制造和组装组织。美国国防部总承包商必须批准并赞助这些非美国组织,然后才能对该公司所在地点进行资格认证。
1791对CMMC 2.0
IPC-1791标准/QML项目与网络安全成熟度模型认证(Cybersecurity Maturity Model Certification ,简称CMMC)2.0项目相比如何?IPC-1791标准/QML项目和CMMC 2.0 2级项目均要求符合NIST SP 800-171的110方法。CMMC 2.0由DFARS 252.204-7012驱动,需要CMMC授权机构的正式认证。DFARS 252.204-7012涵盖网络安全事件报告。IPC-1791标准/QML荐由一些美国国防主承包商推动,这些承包商希望确保其供应基地经过审查,其供应商被视为可依赖资源。IPC-1791标准/QML项目对质量、SCRM、安全(包括符合NIST-SP-800-171)和监管链有更深入的要求。CMMC 2.0目前只关注NIST SP 800-171的二级认证。主要区别在于,IPC-1791标准/QML项目目前已准备就绪,可对任何向国防部提供产品和服务的公司进行认证。尚不清楚CMMC 2.0成为要求的具体实施时间。CMMC 2.0可能会在2023年第2季度或之后实施。公司可以访问CMMC网站(cmmcab.org)了解最新信息和动态。
如果贵公司是美国国防主承包商,信任很重要,保护CUI和CTI也很重要。IPC-1791标准以及1791 QML资格认证项目是目前唯一可以验证供应商是否具备保护机密信息能力的方法。
特别感谢IPC 2-19b委员会主席Richard Snogren对本文提出的指导和建议。
References
- IPC Validation Services, IPC-1791.
Randy Cherry is director of IPC Validation Services. He can be reached at randycherry@ipc.org.
Randy Cherry是IPC验证服务总监。可通过randycherry@ipc.org与Randy联系。