SP 800-171

NIST SP 800-171

米国は2010年11月の大統領令(Executive Order 13556)により、管理すべき重要情報(CUI : Controlled Unclassified Information)についてどのように取扱われるべきか体系的規定の策定を指示しました。その結果出来上がった指針がNIST が作成したSP800-171(連邦政府機関以外の組織および情報システムに対するCUIの保護について)であり、具体的な要件がNIST SP800-53(Security and Privacy Controls) , SP800-63 (Electronic Authentication Guideline) などのドキュメントとして整備されています。

また、国防総省 (DoD; Department of Defense以下、DoD)は、DFARS 252.204-7012  Safeguarding Covered Defense Information and Cyber Incident Reporting (5)により、本指針に示された要件の遵守を契約のサプライチェーンに関係する企業すべてに、2017年12月31日までという期限付きで対応を求めています。

NIST SP800-53と171の違い

NIST SP800-53などは連邦政府機関自身に対する要件として規定されていますが、SP800-171は連邦政府機関以外(外国政府組織や契約企業等)へのCUIの扱いについて遵守を求める事項として新たに規定されたものです。なお、現時点ではDFARSとしてDoD調達案件のみが適用対象とされていますが、FARとして連邦政府機関の調達案件すべてについても適用される方針です。

« Back to Glossary Index

前の記事

Exostar LLC