|
保单编号:2042
负责办公室:研究、合规和保证
最后审查日期:2021年10月12日
下一次需要审查:2026年10月12日
|
受控非机密信息(CUI)研究
1. 目的
十大玩彩信誉平台可以接收联邦政府共享的数据,也可以创建数据或信息作为赞助项目的一部分或开展联邦业务. 这个数据, 信息和相关文件可指定为受控非机密信息(CUI)。. 大学有义务确保CUI涉及的所有系统和流程都符合NIST特别出版物800-171中的国家标准与技术研究院(NIST)标准.
本政策提供了要求和指导,以便接收或开发CUI的个人可以根据CUI法规进行研究或其他业务. 不合规可能导致罚款或无法继续获得与使用这些数据相关的联邦资金,无论是直接从政府获得还是通过相关的承保合同和承包商间接获得.
2. 适用性
本政策适用于教务处、财务处 & 管理,研究 & 经济发展司和医务司, 并涉及美国政府指定为CUI的所有数据以及任何技术, 系统, 服务, 网络, department, 或者传播病毒的人员, 过程, 或存储CUI. 它包括以任何方式传输的数据和信息的传输, 包括电子和纸张. 无论网络连接是远程(云)还是基于校园的,都适用此策略. 任何人, 学校, 代表学校处理CUI的学院或department必须遵守此政策.
3. 定义
NIST特别出版物800-171: NIST特别出版物800-171是一项联邦要求,它标准化了应用于CUI以及在联邦资助的环境中涉及这些数据的系统和过程的安全控制.
受控非机密信息(CUI): 受控非机密信息是法律规定的任何形式的任何信息, 监管, 或者政府范围内的政策要求有保障或传播控制, 不包括根据13526号行政命令分类的信息, 国家安全机密信息, 12月29日, 2009, 或者任何前驱或后继顺序, 或者1954年的原子能法案, 修订的.
环境: 环境被定义为CUI所在的系统和容纳这些系统的物理基础设施. 示例可能是一个单独的研究实验室,该实验室由一个房间组成,其中有容纳CUI的台式计算机,或者一个学生记录系统驻留在数据中心机柜中的多个服务器上. 容纳计算机系统的房间或区域以及计算机系统本身定义了本策略适用的环境.
NIST 800-171控制: NIST 800-171框架包括110个管理元素, 技术, 操作安全控制旨在保护非机密但受控制的信息的机密性. 这些控制是:访问控制, 意识和培训, 审计及问责, 配置管理, 身份识别和认证, 事件响应, 维护, 媒体保护, 人员的安全, 实物保护, 风险评估, 安全评估, 系统和通信保护, 以及系统和信息安全.
补偿控制: 补偿控制, 也称为替代控制, 目前是否有一种机制被认为过于困难或不切实际而无法实施,以满足对安全措施的要求. NIST 800-171需求的补偿控制需要减轻需求设计要解决的潜在风险. 信息安全办公室将与负责CUI相关环境的各方合作,设计和批准补偿控制.
4. 政策指导方针
本政策为十大玩彩信誉平台所有CUI的使用提供了要求和指导. 这些是保护CUI的最低要求——其他适用的要求也同样适用. 所有与CUI相关的环境都必须完全符合NIST 800-171标准(直接或通过补偿控制)。.
5. 程序
5.1 department和个人用户必须采取措施保护CUI免受未经授权的泄露,并遵循NIST 800-171的要求.
5.2 所有与CUI相关的环境都必须在与CUI交互之前进行年度NIST 800-171合规性评估.
5.2.这些评估将产生一份由信息安全和风险合规总监或其指定人员签署的证明报告.
5.2.评估结果将报告给研究副总裁 & 与研究有关活动的经济发展.
5.2.在评估期间发现的任何不合规项目必须在与CUI进行任何互动之前进行纠正.
5.3 对组织运作的定期风险评估, 资产, 和个人, 由信息系统的运行和相关处理产生, 存储, 或CUI的传输. 评估将由信息安全和风险合规总监执行.
5.4 与CUI相关的所有环境也必须以允许在涉及CUI的网络事件72小时内报告事件的方式运行.
6. 执行
监督和执行本政策的责任方是:
政策监管 -主管研究和经济发展办公室副主任;
策略执行 -信息安全和风险合规总监.