肆、「受控非具分類保密等級資訊」的安全意涵
2023.09.15
瀏覽數
2170
摘要
本文說明「受控非具分類保密等級資訊」(CUI)在美國按照法遵階層,從總統行政命令、國家檔案紀錄管理局(NARA)分類指令、國家標準暨技術研究院之標準與國防聯邦採購管制補充條例及CMMC要求,一路到國防工業基礎網路安全評估中心(DIBCAC)的認證實務。
美國決心要管控CUI等於昭告世人,非具分類保密等級資訊非常敏感而相當具有價值,美國的敵手正積極蒐取這些CUI,因此必須採取行動加以保護。基於這樣的特質,在資訊安全防護所注重的保密性、完整性與可及性中,保護CUI的重心在於防止外敵竊取知悉,但同時可以讓承包政府業務的業者間仍可接近使用完整未被竄改的CUI,因此資訊安全的重心絕大部分至於保密性。
在確認該合約商在業務涉及產生、處理、儲放與傳輸CUI範疇與等級之後,接續在接受評估認證之前,還必須釐清確認CUI流經所有路徑,才有辦法真正界定CUI評估範疇,後續才能針對流經路徑之軟體、韌體、地點、硬體、通訓鏈路、操作人員自身及其手持行動裝置,按照NIST SP 800-171或172控制項要求進行網路安全認證,以確定該合約商經評估符合保護CUI的標準。
關鍵字:供應鏈安全、受控非據分類保密等級資訊、反情報、網路安全成熟度模型認證