Information Systems Vulnerability Information

指定根拠

• NARA権限行：44 USC 3554（実施指針についてはOMB M-24-04参照）｜ステータス：基本｜バナー：CUI。
• 関連権限証拠：44 USC 3554（実施指針についてはOMB M-24-04参照）｜ステータス：基本｜バナー：CUI

抽出された権限の意味

記載なし

適用条件

• この権限に使用されるNARAカテゴリ範囲：保護されなかった場合に情報システムに悪影響を及ぼす可能性のある情報に関連します。情報システムとは、情報の収集、処理、維持、使用、共有、伝播または処分のために組織された離散的な情報資源の集合を意味します。
• 44 USC 3554（実施指針についてはOMB M-24-04参照）｜ステータス：基本｜バナー：CUI
• NARAレジストリステータス：Basic。権限別NARAステータス値：Basic。NARAバナーマーキング証拠：CUI。レジストリ証拠はここに保持されており、このカテゴリの詳細な一次法律または規則テキスト分析は保留中である。
• NARAカテゴリ範囲：保護されなかった場合に情報システムに悪影響を及ぼす可能性のある情報に関連します。情報システムとは、情報の収集、処理、維持、使用、共有、伝播または処分のために組織された離散的な情報資源の集合を意味します。

保護および共有制御

• NARAレジストリ制御証拠: ステータス Basic; バナーマーク CUI。
• Nara 基本または特定指定: 基本
• NARA権限行：44 USC 3554（実施指針についてはOMB M-24-04参照）｜ステータス：基本｜バナー：CUI || 44 USC 3555(f)｜ステータス：基本｜バナー：CUI
• Nara バナーマーキング: CUI
• 国防省適用ポリシー：DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• レジストリページにはDoD必須の配布制御は記載されていません。指定機関または管理権限によって必要または許可された場合にのみ、承認された限定配布制御を適用してください。
• 優先してレジストリの主張、NARA権限行、DoD権限、DoD方針、警告文、必要な配布制御、および例を使用してください。引用された権限が取扱い詳細を指定しない場合、権限や機関固有の制御と矛盾しない限りCUI Basicの保護および配布ルールを適用してください。

指定根拠

• NARA権限行：44 USC 3555(f)｜ステータス：基本｜バナー：CUI。
• 関連権限証拠：44 USC 3555(f)｜ステータス：基本｜バナー：CUI

抽出された権限の意味

記載なし

適用条件

• この権限に使用されるNARAカテゴリ範囲：保護されなかった場合に情報システムに悪影響を及ぼす可能性のある情報に関連します。情報システムとは、情報の収集、処理、維持、使用、共有、伝播または処分のために組織された離散的な情報資源の集合を意味します。
• 44 USC 3555(f)｜ステータス：基本｜バナー：CUI
• NARAレジストリステータス：Basic。権限別NARAステータス値：Basic。NARAバナーマーキング証拠：CUI。レジストリ証拠はここに保持されており、このカテゴリの詳細な一次法律または規則テキスト分析は保留中である。
• NARAカテゴリ範囲：保護されなかった場合に情報システムに悪影響を及ぼす可能性のある情報に関連します。情報システムとは、情報の収集、処理、維持、使用、共有、伝播または処分のために組織された離散的な情報資源の集合を意味します。

保護および共有制御

• NARAレジストリ制御証拠: ステータス Basic; バナーマーク CUI。
• Nara 基本または特定指定: 基本
• NARA権限行：44 USC 3554（実施指針についてはOMB M-24-04参照）｜ステータス：基本｜バナー：CUI || 44 USC 3555(f)｜ステータス：基本｜バナー：CUI
• Nara バナーマーキング: CUI
• 国防省適用ポリシー：DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• レジストリページにはDoD必須の配布制御は記載されていません。指定機関または管理権限によって必要または許可された場合にのみ、承認された限定配布制御を適用してください。
• 優先してレジストリの主張、NARA権限行、DoD権限、DoD方針、警告文、必要な配布制御、および例を使用してください。引用された権限が取扱い詳細を指定しない場合、権限や機関固有の制御と矛盾しない限りCUI Basicの保護および配布ルールを適用してください。

指定根拠

• 国防省権限行：44 USC 3554 - 3555。国防省はこの引用をカテゴリに示しており、この国防省詳細ページには個別の基本/指定フィールドを表示しません。
• 関連権限証拠：DoDは本カテゴリーについてこの権限をリストしており、利用可能な場合はリンクされた権限テキストを下記に抜粋しています。
• レジストリ指定のコンテキスト: 基本、CUI。リンクされた権限テキストには、情報がこのCUIカテゴリに該当するかを判断するのに役立つカテゴリ範囲または適用範囲の言語が含まれています。リンクされた権限テキストには、取り扱いに関する開示、アクセス、保護、リリース、普及、配布管理の言語が含まれています。リンクされた権限テキストには、違反、罰則、制裁、または執行の言語が含まれており、誤った取り扱いに対する結果に影響を与える可能性があります。
• このカテゴリのレジストリ指定は、基本でバナーはCUIです。

抽出された権限の意味

• ページ152 TITLE 44—公文書および印刷物 §3551
• レジストリ指定のコンテキスト: 基本、CUI。リンクされた権限テキストには、情報がこのCUIカテゴリに該当するかを判断するのに役立つカテゴリ範囲または適用範囲の言語が含まれています。リンクされた権限テキストには、取り扱いに関する開示、アクセス、保護、リリース、普及、配布管理の言語が含まれています。リンクされた権限テキストには、違反、罰則、制裁、または執行の言語が含まれており、誤った取り扱いに対する結果に影響を与える可能性があります。

適用条件

• この権限に使用される国防省カテゴリ範囲：保護されなかった場合に情報システムに悪影響を及ぼす可能性のある情報に関連します。情報システムとは、情報の収集、処理、維持、使用、共有、伝播または処分のために組織された離散的な情報資源の集合を意味します。
• この権限はDoDによってこのカテゴリーにリストされており、可能な場合はリンクされた権限テキストが以下に抽出される。
• NARAレジストリステータス：Basic。権限別NARAステータス値：Basic。NARAバナーマーキング証拠：CUI。レジストリ証拠はここに保持されており、このカテゴリの詳細な一次法律または規則テキスト分析は保留中である。
• NARAカテゴリ範囲：保護されなかった場合に情報システムに悪影響を及ぼす可能性のある情報に関連します。情報システムとは、情報の収集、処理、維持、使用、共有、伝播または処分のために組織された離散的な情報資源の集合を意味します。
• 抽出された権限条件：L. 114-4、分類は表参照] 『国家保護およびプログラム局、インフラ保護および情報セキュリティ』に140,525,000ドルが連邦ネットワークセキュリティプログラム、プロジェクト、活動のために充てられ、旧44 USC 3543(a)に該当する機関情報システムの情報セキュリティ向上技術を連邦システムに展開するために使用されること：提供条件として、本条の資金は、情報セキュリティに対する増大かつ急速に進化する脅威に対処するためのリスクベースかつ費用効果の高いサイバーセキュリティを政府全体および機関個別の取り組みを支援するために使われ、継続的監視・診断プログラムの取得と運用を含み、これには機器、ソフトウェア、国土安全保障省提供サービスが含まれる：さらに、この資金で調達された継続的監視および診断ソフトウェアは、他機関ユーザーの個人識別情報またはネットワーク通信内容を国土安全保障省に送信してはならない：さらに、当該ソフトウェアは設置、維持されるものとする、...
• 抽出された権限条件：（b）追加定義―本小節で使用される用語：（1）「拘束的運用指令」とは、機関に対する強制的な指示を意味し、(A) 知られている、または合理的に疑われる情報セキュリティ上の脅威、脆弱性またはリスクから連邦情報および情報システムを守る目的を有し、(B) 指揮官が発行する方針、原則、基準、およびガイドラインに従い、(C) これらの指示が指揮官が開発した方針および原則に適合しない場合には指揮官により改訂または廃止され得るものとする。
• 抽出された権限条件：（b）長官―長官は指揮官と協議のうえ、情報システムに関する機関の情報セキュリティ政策および実務を管理する（国家安全保障システムおよび(e)項の(2)または(3)に記載された情報システムを除く）。これには、(1) 指揮官が(a)項の(1)、(2)、(3)、(5)、(6)の権限および機能を遂行するのを支援すること、(2) 指揮官が(a)(1)項に基づき開発した方針、原則、基準、ガイドラインおよび本小節の要件を実施するために機関に対して拘束的運用指令を開発、監督することが含まれる。これら拘束的運用指令は、指揮官を代表して発せられた場合に、指揮官が開発した方針、原則、基準およびガイドラインに準拠しないならば改訂または廃止され得る。具体的には以下を含む： (A) セキュリティインシデントを3556条に基づき設立された連邦情報セキュリティインシデントセンターへの報告要件、(B) 3554(c)(1)条に基づき提出が求められる年次報告書の内容要件、(C) 情報システムへの緊急リスク軽減要件、(D) さらに指揮官または長官が指揮官と協議して決定する他の運用要件、...
• 抽出された権限条件：（c）報告。―各年の3月1日までに、ディレクターは、長官と協議の上、前年の情報セキュリティ方針および実践の有効性に関する議会への報告書を提出しなければならない。これには以下を含む。 (1) セクション3554(c)(1)に基づき提出が義務付けられている年次報告書に記載されたインシデントの概要、並びにセクション3554(c)(1)(A)(iii)で求められている情報の概要; (2) 重大な情報セキュリティインシデントを報告する閾値の記述; (3) セクション3555に基づいて実施が義務付けられている評価の結果の概要; (4) タイトル40のセクション11331に基づき公布された基準への諸機関の遵守状況の評価; (5) ディレクターが発行するデータ漏えい通知方針および手続きへの諸機関の遵守状況の評価。
• 抽出された権限条件：定義 本章では、セクション3502の定義が適用され、用語は以下の意味を持つ。 (1)「Administrator」とは、セクション3602に基づき設立された電子政府事務局の管理者を指す。 (2)「Council」とは、セクション3603に基づき設立されたチーフインフォメーションオフィサーズ協議会を指す。 (3)「electronic Government」とは、政府によるウェブベースのインターネットアプリケーションおよびその他の情報技術の使用と、それらの技術を実装するプロセスを組み合わせて、次のことを行うことを指す。 (A) 公衆、他の省庁、及び他の政府機関に対する政府情報およびサービスへのアクセスと提供を強化すること。 (B) 効率性、サービス品質、または変革を含むかもしれない政府運営の改善を実現すること。 (4)「enterprise architecture」とは、 (A) 意味するところは— (i) ミッションを定義する戦略的情報資産基盤; (ii) ミッションを遂行するために必要な情報; (iii) ミッションを遂行するために必要な技術; (iv) 変化するミッションニーズに応じて新技術を実装する移行プロセス; (B) 含むものは— (i) ベースラインアーキテクチャ; (ii) 目標アーキテクチャ; (iii) シーケンシング計画; (5)「Fund」とは、セクション3604に基づき設立されたE-Government Fundを指す；...
• 抽出された権限条件：(3)「information security」とは、情報および情報システムを不正なアクセス、使用、開示、妨害、改変、または破壊から保護し、以下を提供することを意味する。 (A) 整合性：不適切な情報の改変または破壊を防ぎ、情報の否認防止および真正性の確保を含むこと。 (B) 機密性：個人のプライバシーおよび専有情報の保護手段を含む、アクセスおよび開示に対する正当な制限を保持すること。 (C) 可用性：情報への迅速かつ信頼できるアクセスおよび利用を確保すること。

保護および共有制御

• DoD適用方針：DoDI 8500.01、DoDI 8510.01、DoDI 8531.01
• Nara 基本または特定指定: 基本
• NARA権限行：44 USC 3554（実施指針についてはOMB M-24-04参照）｜ステータス：基本｜バナー：CUI || 44 USC 3555(f)｜ステータス：基本｜バナー：CUI
• Nara バナーマーキング: CUI
• 国防省適用ポリシー：DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• レジストリページにはDoD必須の配布制御は記載されていません。指定機関または管理権限によって必要または許可された場合にのみ、承認された限定配布制御を適用してください。
• 優先してレジストリの主張、NARA権限行、DoD権限、DoD方針、警告文、必要な配布制御、および例を使用してください。引用された権限が取扱い詳細を指定しない場合、権限や機関固有の制御と矛盾しない限りCUI Basicの保護および配布ルールを適用してください。
• 抽出された権限管理：(3)「information security」とは、情報および情報システムを不正なアクセス、使用、開示、妨害、改変、または破壊から保護し、以下を提供することを意味する。 (A) 整合性：不適切な情報の改変または破壊を防ぎ、情報の否認防止および真正性の確保を含むこと。 (B) 機密性：個人のプライバシーおよび専有情報の保護手段を含む、アクセスおよび開示に対する正当な制限を保持すること。 (C) 可用性：情報への迅速かつ信頼できるアクセスおよび利用を確保すること。
• 抽出された権限管理：ディレクターおよび長官の権限および職務 (a) ディレクター。―ディレクターは、情報セキュリティ方針および実践を監督し、以下を含む。 (1) 情報セキュリティに関する政策、原則、基準、およびガイドラインの作成と実装の監督、これにはタイトル40のセクション11331に基づき公布された基準の適時な省庁採用および遵守の確保を含む。 (2) こうしたセクション11331に基づき公布された基準および本小章の要件に従い、諸機関に対して、機密情報の不正アクセス、使用、開示、妨害、改変、または破壊から生じるリスクおよび被害の大きさに見合った情報セキュリティ保護を特定し、提供するよう要求する。 (A) 機関が収集または保持する情報；または (B) 機関や機関の契約者、その他の機関の代理としての組織が使用または運用する情報システム。 (3) 長官が(b)項の権限および職務を遂行することを確実にする。 (4) 国家安全保障システムを運用・管理する機関や国家安全保障局を含むオフィスとの連携により、ナショナルインスティチュートオブスタンダーズアンドテクノロジー法(15 U.S.C. 278g–3)のセクション20に基づく基準およびガイドラインの開発を調整し、...
• 抽出された権限管理：L. 113–283、第2条(d)、2014年12月18日、128 Stat. 3085により定められた：「(1) 要求事項。―管理予算局のディレクターは、データ漏えい通知方針およびガイドラインが定期的に更新されることを確実にし、以下を要求する。 (A) パラグラフ(4)に規定する場合を除き、影響を受けた機関は、44 U.S.C. セクション3554(c)(1)で追加された議会の各委員会、上院司法委員会、下院司法委員会に通知を行う。通知は― (i) 不正な取得またはアクセスを発見した日から30日以内に迅速に行われること；および (ii) 以下を含むこと。 (I) 通知提供日に機関が把握している、漏えいの発生方法に関する情報の概要； (II) 通知提供日時点で機関が把握している情報に基づく、漏えいによる影響を受けた個人数の推定値、ならびに影響を受けた個人への被害リスクの評価； (III) 影響を受けた個人への通知が遅れる理由の説明； (IV) 機関が影響を受けた個人に通知を提供する場合およびその時期の見積もり；...
• 抽出された権限管理：国家安全保障システム 国家安全保障システムを運用または管理する各機関の長は、以下を確実にする責任を負う。 (1) 当該システムに含まれる情報の不正アクセス、使用、開示、妨害、改変、または破壊から生じるリスクおよび被害の大きさに見合った情報セキュリティ保護を提供すること。 (2) 法令に則り、大統領の指示を受けて発行された国家安全保障システムの基準およびガイドラインに従った情報セキュリティ方針および実践を実施すること。 (3) 本小章の要件を遵守すること。
• 抽出された権限管理：(b) 追加定義。本小章で使用される場合： (1) 「binding operational directive」とは、連邦情報および情報システムを既知または合理的に疑われる情報セキュリティの脅威、脆弱性、またはリスクから保護することを目的とした、機関への強制的な指示を意味する。 (A) これはディレクターによって発行される政策、原則、基準、およびガイドラインに従うものであること。 (B) もしディレクターに代わって発行された指示がディレクターによって開発された政策および原則に沿っていない場合、ディレクターは当該指示を修正または撤回できること。
• 抽出された権限管理：目的 本小章の目的は以下の通りである。 (1) 連邦運営および資産を支える情報リソースに対する情報セキュリティ管理の有効性を確保するための包括的な枠組みを提供すること。 (2) 現行の高度にネットワーク化された連邦のコンピューティング環境を認識し、民間、国家安全保障、法執行コミュニティ全体にわたる情報セキュリティの取り組みの調整を含めた効果的な政府全体の管理および監督を提供すること。 (3) 連邦情報および情報システムを保護するために必要な最低限の管理策の開発および維持を提供すること。 (4) セキュリティの継続的診断および改善のための自動化されたセキュリティツールを通じた連邦機関の情報セキュリティプログラムの監督強化のための仕組みを提供すること。 (5) 商用に開発された情報セキュリティ製品は、高度で動的かつ強力で効果的な情報セキュリティソリューションを提供し、国家防衛および経済安全保障に重要な重要情報インフラストラクチャの保護に関して市場ソリューションを反映することを確認すること。...
• 抽出された権限管理：（2）権限の使用手続き。—長官は—（A）所長との調整のもと、適切に連邦契約者と協議しつつ、本小節の下で指令を発することができる状況を規定する手続きを確立するものとし、これには—（i）閾値およびその他の基準；（ii）プライバシーおよび市民の自由の保護；（iii）潜在的に影響を受ける第三者への通知の提供；（B）必要な行動の理由および指令の期間を明示すること；（C）本小節の下での指令の影響を最小限に抑えるため—（i）状況に応じて可能な限り侵襲の少ない手段を採用して機関の情報システムを保護し；（ii）指令を実行可能な最短期間に制限し；（D）本小節の下で指令が発令された場合、直ちに所長および影響を受ける機関の長に通知すること；（E）本小節の下で国立標準技術研究所が開発した基準および指針を実装する指令に関しては国立標準技術研究所長と協議すること；（F）本小節の下で発出される指令が題目40の第11331条に基づく基準および指針と矛盾しないことを保証すること；...

指定根拠

• 関連権限証拠: DoDはこのカテゴリに適用されるポリシーをリストしており、リンクされたポリシーテキストは利用可能な場合に以下に抽出されています。
• レジストリ指定のコンテキスト: 基本、CUI。リンクされた権限テキストには、情報がこのCUIカテゴリに該当するかを判断するのに役立つカテゴリ範囲または適用範囲の言語が含まれています。リンクされた権限テキストには、取り扱いに関する開示、アクセス、保護、リリース、普及、配布管理の言語が含まれています。リンクされた権限テキストには、違反、罰則、制裁、または執行の言語が含まれており、誤った取り扱いに対する結果に影響を与える可能性があります。
• このカテゴリのレジストリ指定は、基本でバナーはCUIです。

抽出された権限の意味

• タイトル：DoDI 8500.01、2014年3月14日、2019年10月7日の変更1を含む
• レジストリ指定のコンテキスト: 基本、CUI。リンクされた権限テキストには、情報がこのCUIカテゴリに該当するかを判断するのに役立つカテゴリ範囲または適用範囲の言語が含まれています。リンクされた権限テキストには、取り扱いに関する開示、アクセス、保護、リリース、普及、配布管理の言語が含まれています。リンクされた権限テキストには、違反、罰則、制裁、または執行の言語が含まれており、誤った取り扱いに対する結果に影響を与える可能性があります。

適用条件

• DoDはこのカテゴリに適用される政策をリストアップしており、リンクされた政策本文が利用可能な場合は以下に抽出して示す。
• 抽出された権限条件：提案依頼書には、各応募者のセキュリティ制御要件を満たすための提案手法を評価するのに十分な情報を含めるものとする。
• 抽出された権限条件：（b）PITを含む可能性のあるプラットフォームの例は次のとおりである：兵器システム、訓練シミュレーター、診断テストおよび保守装置、校正装置、兵器システムの研究開発に使用される装置、医療機器およびヘルス情報技術、車両および代替燃料車両（例：電気、自動車用コンピュータを含むバイオ燃料、液化天然ガス）、建物およびその関連制御システム（ビルオートメーションシステムまたはビル管理システム、エネルギーマネジメントシステム、火災および生命安全、物理的セキュリティ、エレベーターなど）、ユーティリティ配電システム（電気、水、廃水、天然ガス、蒸気）、産業用に特別に設計された電気通信システムDoDI 8500.01、2014年3月14日
• 抽出された権限条件：DoD構成要素は、影響を受ける情報所有者またはDoDI 8500.01、2014年3月14日と共有するためのセキュリティ認証パッケージを提供しなければならない。
• 抽出された権限条件：DoDの情報共有方針および手続きはDoDD 8320.02（参考資料(cr)）およびDoDI 8320.07（参考資料(cs)）で定義されている。

保護および共有制御

• 抽出された権限管理：電子形式のすべてのDoD情報は、情報共有と保護の両方の重要性を反映する適切な機密性、完全性、および可用性のレベルを与えられるものとする。
• 抽出された権限管理：情報システムは、Reference (ck)に従った認証を要求することにより、分類情報およびCUIの不正アクセスから保護しなければならない。e。
• 抽出された権限管理：PITプラットフォーム情報技術 PKI 公開鍵基盤 PM プログラムマネージャー PPP プログラム保護計画 RMF リスクマネジメントフレームワーク SAP 特別アクセスプログラム SCAP セキュリティコンテンツ自動化プロトコル SCI 秘密区分情報 SIPRNet 秘密インターネットプロトコルルータネットワーク SISO 上席情報セキュリティ担当者 SM システムマネージャー SP 特別刊行物 SRG セキュリティ要件ガイド SSE システムセキュリティ工学 STIG セキュリティ技術実装ガイド T&E 試験および評価 TPM 信頼プラットフォームモジュール TRANSEC 伝送セキュリティ TSN 信頼システムおよびネットワーク U.S.C.
• 抽出された権限管理：（2）任務パートナーの情報システム上に存在するDoD発信およびDoD提供の情報は、適切かつ十分に保護されなければならず、必要な保護レベルを示す文書化された合意が存在しなければならない。
• 抽出された権限管理：DoD作戦支援に使用される、アイデンティティに依存する機能、プロセス、および手順をサポートする情報およびインフラストラクチャには、アイデンティティデータまたはアイデンティティ認証情報の機密性、完全性、真正性、および可用性を確保するための措置が組み込まれます。
• 抽出された権限管理：故意に、または過失により、DoDI 8500.01（2014年3月14日）におけるDoDのセキュリティ要件の実施を確保しないことによってDoD情報を危険にさらした場合、司法制裁が科される可能性があります。

指定根拠

• 関連権限証拠: DoDはこのカテゴリに適用されるポリシーをリストしており、リンクされたポリシーテキストは利用可能な場合に以下に抽出されています。
• レジストリ指定のコンテキスト: 基本、CUI。リンクされた権限テキストには、情報がこのCUIカテゴリに該当するかを判断するのに役立つカテゴリ範囲または適用範囲の言語が含まれています。リンクされた権限テキストには、取り扱いに関する開示、アクセス、保護、リリース、普及、配布管理の言語が含まれています。リンクされた権限テキストには、違反、罰則、制裁、または執行の言語が含まれており、誤った取り扱いに対する結果に影響を与える可能性があります。
• このカテゴリのレジストリ指定は、基本でバナーはCUIです。

抽出された権限の意味

• タイトル: DoDI 8510.01、『DoDシステムのためのリスク管理フレームワーク』、2022年7月19日
• レジストリ指定のコンテキスト: 基本、CUI。リンクされた権限テキストには、情報がこのCUIカテゴリに該当するかを判断するのに役立つカテゴリ範囲または適用範囲の言語が含まれています。リンクされた権限テキストには、取り扱いに関する開示、アクセス、保護、リリース、普及、配布管理の言語が含まれています。リンクされた権限テキストには、違反、罰則、制裁、または執行の言語が含まれており、誤った取り扱いに対する結果に影響を与える可能性があります。

適用条件

• DoDはこのカテゴリに適用される政策をリストアップしており、リンクされた政策本文が利用可能な場合は以下に抽出して示す。
• 抽出された権限条件：（6）ミッションおよび情報環境指標に基づいてセキュリティ認可ドキュメントパッケージをレビューし、FISMAに記載された報告要件のために責任あるCIOまたはCISOに提供されるアクションプランを決定します。
• 抽出された権限条件：情報技術インフラストラクチャの相互依存ネットワークにおける潜在的な状況またはイベントであり、通信ネットワーク、コンピュータシステム、および組み込みプロセッサおよびコントローラを含みます。
• 抽出された権限条件： > タスクP-2 > リスク管理戦略 > 組織のリスク許容度の決定と表現を含む組織のリスク管理戦略が確立されます。[CSF: ID.RM; ID.SC ] > 機関長 > タスクP-3 > リスク評価 – 組織 > 組織全体のリスク評価が完了するか、既存のリスク評価が更新されます。[CSF: ID.RA; ID.SC-2 ] > •リスク管理またはリスク執行（機能）の上級責任者 > •上級機関情報セキュリティ責任者（ISO） > •上級機関プライバシー責任者 > タスクP-4 > 組織に合わせた管理基準およびCSFプロファイル（任意） > 組織に合わせた管理基準および/またはCSFプロファイルが確立され公開されます。[CSF: > プロファイル ] > •ミッションまたは事業所有者 > リスク管理またはリスク執行（機能）の上級責任者

保護および共有制御

• 抽出された権限管理：CNSSI No. 1253に従い、システムを分類します。これは、システムによって分析、保存、および伝達される情報と、機密性、完全性、および可用性の潜在的喪失が組織の運用および資産、個人、他の組織、国家に与える影響の分析に基づきます。
• 抽出された権限管理：DoD RMF実務者は、DoD情報技術を保護するために必要な適切な方法、基準、および実践を効果的かつ効率的に適用するために、RMF方向性、基準、およびツールにアクセスする必要があります。
• 抽出された権限管理：（b）DoDI 8500.01およびNIST SP 800-39に記載されたリスク執行機能を実行し、サイバーセキュリティ相互運用性の要件を満たす認可された企業システムのエンタープライズレベルのリスク受容決定を行います。
• 抽出された権限管理：DoDコンポーネントの取得プログラムエグゼクティブオフィスおよびPMが、システム維持管理中のトレードオフ決定（例：意図された運用環境におけるシステムの生存性に大きく影響する脆弱性修正の保留または遅延の決定）について、要求スポンサー、AO、およびコンポーネントのサイバースペース作戦部隊と調整を行う責任があることを検証します。
• 抽出された権限管理: 国家安全保障システムの全体的なセキュリティ体制を評価し、その脆弱性を特定し、DoDへの脅威に関する情報を伝達する。
• 抽出された権限管理: (1) Adaptive Acquisition FrameworkはDoDI 5000.02で定義および図示されている。

指定根拠

• 関連権限証拠: DoDはこのカテゴリに適用されるポリシーをリストしており、リンクされたポリシーテキストは利用可能な場合に以下に抽出されています。
• レジストリ指定コンテキスト: Basic, CUI。リンクされた権限文には、このCUIカテゴリ内に情報が該当するかどうかを判断するのに役立つカテゴリ範囲または適用性に関する文言が含まれている。リンクされた権限文には、開示、アクセス、保護、公開、伝播または配布コントロールに関連する取扱い文言が含まれている。
• このカテゴリのレジストリ指定は、基本でバナーはCUIです。

抽出された権限の意味

• タイトル：DoDI 8531.01、「DoD脆弱性管理」、2020年9月15日
• レジストリ指定コンテキスト: Basic, CUI。リンクされた権限文には、このCUIカテゴリ内に情報が該当するかどうかを判断するのに役立つカテゴリ範囲または適用性に関する文言が含まれている。リンクされた権限文には、開示、アクセス、保護、公開、伝播または配布コントロールに関連する取扱い文言が含まれている。

適用条件

• DoDはこのカテゴリに適用される政策をリストアップしており、リンクされた政策本文が利用可能な場合は以下に抽出して示す。
• 抽出された権限条件: (2) VDPを通じてDoDに提出された情報は、防御目的で使用され、DODINシステム、サブシステム、またはシステムコンポーネントの脆弱性を軽減または修復するために用いられなければならない。
• 抽出された権限条件: • ポリシーを確立し、責任を割り当て、DoD情報ネットワーク（DODIN）内のすべてのソフトウェア、ファームウェア、ハードウェアで特定された脆弱性に対するDoD脆弱性管理および対応手順を提供する。
• 抽出された権限条件：DoDの脆弱性管理、資産管理、構成管理、および是正または緩和管理の問題や懸念を、米国サイバー司令部（USCYBERCOM）および統合軍情報ネットワーク司令部（JFHQ-DODIN）指揮官と調整します。
• 抽出された権限条件: 正確なシステム情報を得るために、月次で非認証および認証済みの脆弱性スキャンを実施し、以前に影響を受けたシステムの継続的監視を行う。

保護および共有制御

• 抽出された権限管理: (6) 機密性、完全性、または可用性の損失がDoDの運用、組織資産、または個人にどのように影響を与えるかの詳細（例: 限定的、深刻、破滅的、壊滅的影響）。
• 抽出された権限管理: DoDのSISOと連携し、システムおよびネットワーク上の情報保護のためのセキュリティポリシーおよび関連する情報およびセキュリティ事項を調整する。
• 抽出された権限管理: DoDコンポーネントは、脆弱性が修復または緩和されない場合に予想される完全性、機密性、および可用性の損失の影響評価を実施する。
• 抽出された権限管理: ケースバイケースで、どの修復または緩和方法が最も有益かを決定し、機密性、完全性、および可用性の損失を考慮する。
• 抽出された権限管理：全てのDoDシステムの全体的なセキュリティ態勢を評価し、USCYBERCOMと連携してDoDシステムコンポーネントに影響を与える脅威や脆弱性に関する情報を提供します。