美国国防部承包商、文职人员和IT/安全人员认证要求：2025年全面合规指南

美国国防部 (DoD) 持续加强对网络安全从业人员资质的要求，以确保支持、管理、保护或操作国防部信息系统的人员具备必要的知识、技能和认证。无论是国防承包商、文职人员还是 IT/网络安全专业人员，对于指定的网络安全从业人员角色，都必须遵守 DoD 8140 指令及其前身 8570 指令的要求。

本指南全面、正式地概述了国防部的认证要求、适用的从业人员类别、资质认证标准以及对在国防部信息环境中运营的组织和个人的合规期望。

1. DoD 8140 / 8570 网络安全从业人员要求概述

DoD 8140 指令（原 8570 指令）确立了国防部网络安全从业人员的基本资质和认证标准。它定义了：

• 特定职位类别所需的认证

• 网络安全岗位人员的能力要求

• 人员培训和资格认证时间表

• 国防部各部门和国防承包商的合规义务

DoD 8140 提供了总体指导，而 DoD 8140.01、DoD 8140.02 和 DoD 8140.03 则进一步定义了框架、流程以及网络劳动力资格认证和管理计划 (CWQMP)。

根据该框架，所有拥有特权访问权限或承担网络安全职责的人员都必须获得并保持与其角色类别和级别相符的认可认证。

2. 适用范围：哪些人必须获得 DoD 认证？

DoD 认证要求广泛适用于整个国防生态系统，包括：

2.1 承包商

受雇于支持国防部行动、提供 IT 服务、管理系统或访问政府网络的私营企业的个人必须根据合同义务满足认证要求。适用于：

• 主承包商

• 分包商

• 管理服务提供商 (MSP)

• 系统集成商

• 为国防部系统提供支持的网络安全服务提供商

承包商与政府人员一样，须遵守相同的认证时间表和合规标准。

2.2 国防部文职人员

从事网络安全、IT、信息保障、工程或安全相关工作的文职人员必须获得并保持与其工作职能相关的相应基线认证。

这包括以下机构的人员：

• 国防信息系统局 (DISA)

• 美国网络司令部 (USCYBERCOM)

• 国防部首席信息官 (CIO) 办公室

• 各军种部门

• 国防机构和外勤单位

2.3 IT 和网络安全人员

任何从事系统管理、网络管理、网络安全监控、工程或信息保障相关工作的个人承包商、文职人员或军人都必须获得认证。

这适用于以下人员：

• 特权访问权限

• 系统修改权限

• 网络安全控制责任

• 支持纵深防御作战的角色

3. 国防部网络安全人员类别和认证级别

DoD 8140 规定了若干人员类别，每个类别都有相应的认证要求。

3.1 信息保障技术人员 (IAT)

IAT 人员提供网络安全和 IT 技术支持。职责包括网络防御、系统维护和安全配置。

级别包括：

• IAT 一级 — 入门级

• IAT 二级 — 中级

• IAT 三级 — 高级技术人员

认可的认证包括：A+、Network+、CCNA、Security+、CySA+、CASP+、CISSP 等。

3.2 信息保障管理人员 (IAM)

IAM 人员负责网络安全项目的监督、管理和领导。

级别包括：

• IAM 一级 — 基础管理

• IAM 二级 — 中级管理

• IAM 三级 — 高级管理

认可的认证包括：CAP、CISM、CISSP、GSLC 及相关管理资质。

3.3 信息保障系统架构与工程 (IASAE)

IASAE 人员负责为美国国防部 (DoD) 网络设计、构建和部署安全系统。

角色包括：

• 系统安全工程师

• 网络安全架构师

• 高级工程师

认可的认证包括：CISSP-ISSAP、CISSP-ISSEP、CSSLP。

3.4 网络安全服务提供商 (CSSP)

CSSP 人员负责支持网络防御、安全运营中心 (SOC) 运营、事件响应和漏洞分析。

CSSP 职位包括：

• 分析师

• 基础设施支持

• 事件响应员

• 审计员

• 经理

认可的认证包括：CEH、CySA+、GCIH、GCFA、CFR 以及其他基于专业领域的认证。

4. 按人员类型划分的基线认证要求

虽然认证框架基于角色，但它对不同人员群体的影响各不相同。

4.1 承包商的要求

承包商必须：

• 在执行网络安全职能之前持有认可的认证。

• 在整个执行期间保持认证有效。

• 确保按要求向合同官员提交合规文件。

• 将人员分配到相应的 IAT、IAM、IASAE 或 CSSP 类别。

不遵守规定可能导致：

• 取消合同履行资格

• 违规调查结果

• 人员解雇

• 可能丧失合同资格

4.2 文职人员要求

文职人员必须：

• 在国防部部门政策规定的期限内（通常在分配后 6 个月内）获得所需的认证。

• 保持继续教育学分 (CEU) 或继续职业教育 (CPE)。

• 参加国防部 8140.03 中规定的持续性员工培训。

• 职位描述与 DCWF 角色代码保持一致。

文职人员还应达到基于角色的熟练度和维持目标。

4.3 信息技术和网络安全人员要求

拥有特权访问权限的人员必须：

• 在获得更高权限之前，持有经批准的 IAT、IAM 或 CSSP 认证。

• 通过经批准的培训和继续教育计划保持技能熟练度。

• 完成符合美国国防部标准的年度网络安全培训。

• 满足其他部门级要求（例如，国防信息系统局 (DISA)、海军网络通信基础设施 (NMCI)、陆军网络）。

5. 认证时间表和合规要求

5.1 初始认证

人员必须获得所需的认证：

• 在担任网络安全角色之前（承包商）

• 6 个月内（文职人员）

• 特定职位在 12 个月内（根据部门政策）

5.2 续期和继续教育

大多数认证需要每 2-3 年续期一次，包括：

• CompTIA（继续教育计划）

• ISC2（继续教育要求）

• EC-Council（继续教育要求）

• GIAC（续期周期）

未能续期将导致自动失去美国国防部合规资格。

5.3 文档记录和跟踪

人员必须确保其认证记录在以下系统中：

• 国防部网络安全人员管理系统

• 组件级培训数据库

• 承包商人员合规性报告

各组织必须维护可审计的记录，以证明其认证状态。

6. 认可的认证机构

国防部仅接受来自认可机构的认证，包括：

• CompTIA

• ISC2

• ISACA

• EC-Council

• GIAC / SANS

• Cisco

• Oracle

• Red Hat

• 国防部 8140 基线表中列出的其他机构

只有列入国防部 8140/8570 官方认可基线认证矩阵的认证才符合要求。

7. 国防部认证合规的影响

7.1 对个人

合规可带来以下机会：

• 政府职位

• 承包商角色

• 高级网络安全职责

• 更高的职业发展和晋升机会

获得认证的人员因其在指定岗位上展现出的能力而获得认可。

7.2 对组织

组织可受益于：

• 合同资格

• 网络安全态势提升

• 降低员工风险

• 审计准备就绪

• 符合DFARS、NIST SP 800-171、RMF和零信任要求

不合规可能导致承包商失去资格并限制其运营能力。

8. 总结

国防部认证要求是国防部网络安全准备工作的基石。承包商、文职人员和IT/安全人员必须遵守DoD 8140基线标准，以确保员工接受过培训、具备资格并拥有必要的装备，能够抵御不断演变的威胁，保护国防部系统。

通过将人员配置到相应的 IAT、IAM、IASAE 或 CSSP 类别并保持已获批准的认证，各组织可以为安全可靠的国防部信息环境做出贡献。合规性不仅是合同要求，也是所有支持国防部任务的实体必须优先考虑的关键运营事项。