Information Systems Vulnerability Information

지정 근거

• NARA 권한 행: 44 USC 3554 (시행 지침은 OMB M-24-04 참조) | 상태: 기본 | 배너: CUI.
• 관련 권한 증거: 44 USC 3554 (시행 지침은 OMB M-24-04 참조) | 상태: 기본 | 배너: CUI

추출된 권한 의미

목록 없음

운영 조건

• 이 권한과 함께 사용되는 NARA 카테고리 범위: 보호되지 않을 경우 정보 시스템에 부정적 영향을 미칠 수 있는 정보와 관련됨. 정보 시스템이란 정보의 수집, 처리, 유지, 사용, 공유, 배포 또는 폐기를 위해 조직된 개별적인 정보 자원 집합을 의미합니다.
• 44 USC 3554 (시행 지침은 OMB M-24-04 참조) | 상태: 기본 | 배너: CUI
• NARA 레지스트리 상태: 기본. 권한별 NARA 상태 값: 기본. NARA 배너 마킹 증거: CUI. 레지스트리 증거는 여기에 보존되며, 이 범주에 대한 자세한 기본법 또는 규정 텍스트 분석은 진행 중이다.
• NARA 카테고리 범위: 보호되지 않을 경우 정보 시스템에 부정적 영향을 미칠 수 있는 정보와 관련됨. 정보 시스템이란 정보의 수집, 처리, 유지, 사용, 공유, 배포 또는 폐기를 위해 조직된 개별적인 정보 자원 집합을 의미합니다.

보호 및 배포 통제

• NARA 레지스트리 통제 증거: 상태 기본; 배너 표시 CUI.
• NARA 기본 또는 특정: 기본
• NARA 권한 행: 44 USC 3554 (시행 지침은 OMB M-24-04 참조) | 상태: 기본 | 배너: CUI || 44 USC 3555(f) | 상태: 기본 | 배너: CUI
• NARA 배너 표시: CUI
• DoD 적용 정책: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• 레지스트리 페이지에 DoD 필수 배포 통제가 명시되어 있지 않습니다. 지정 기관 또는 관리 권한이 허용하거나 요구하는 경우에만 승인된 제한 배포 통제를 적용하십시오.
• 레지스트리 주장, NARA 권한 행, DoD 권한, DoD 정책, 경고 문구, 필수 배포 통제 및 예제를 먼저 사용하십시오. 인용된 권한이 처리 세부사항을 명시하지 않는 경우, 권한 또는 기관별 통제와 충돌하지 않는 한 CUI 기본 보호 및 배포 규칙을 적용하십시오.

지정 근거

• NARA 권한 행: 44 USC 3555(f) | 상태: 기본 | 배너: CUI.
• 관련 권한 증거: 44 USC 3555(f) | 상태: 기본 | 배너: CUI

추출된 권한 의미

목록 없음

운영 조건

• 이 권한과 함께 사용되는 NARA 카테고리 범위: 보호되지 않을 경우 정보 시스템에 부정적 영향을 미칠 수 있는 정보와 관련됨. 정보 시스템이란 정보의 수집, 처리, 유지, 사용, 공유, 배포 또는 폐기를 위해 조직된 개별적인 정보 자원 집합을 의미합니다.
• 44 USC 3555(f) | 상태: 기본 | 배너: CUI
• NARA 레지스트리 상태: 기본. 권한별 NARA 상태 값: 기본. NARA 배너 마킹 증거: CUI. 레지스트리 증거는 여기에 보존되며, 이 범주에 대한 자세한 기본법 또는 규정 텍스트 분석은 진행 중이다.
• NARA 카테고리 범위: 보호되지 않을 경우 정보 시스템에 부정적 영향을 미칠 수 있는 정보와 관련됨. 정보 시스템이란 정보의 수집, 처리, 유지, 사용, 공유, 배포 또는 폐기를 위해 조직된 개별적인 정보 자원 집합을 의미합니다.

보호 및 배포 통제

• NARA 레지스트리 통제 증거: 상태 기본; 배너 표시 CUI.
• NARA 기본 또는 특정: 기본
• NARA 권한 행: 44 USC 3554 (시행 지침은 OMB M-24-04 참조) | 상태: 기본 | 배너: CUI || 44 USC 3555(f) | 상태: 기본 | 배너: CUI
• NARA 배너 표시: CUI
• DoD 적용 정책: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• 레지스트리 페이지에 DoD 필수 배포 통제가 명시되어 있지 않습니다. 지정 기관 또는 관리 권한이 허용하거나 요구하는 경우에만 승인된 제한 배포 통제를 적용하십시오.
• 레지스트리 주장, NARA 권한 행, DoD 권한, DoD 정책, 경고 문구, 필수 배포 통제 및 예제를 먼저 사용하십시오. 인용된 권한이 처리 세부사항을 명시하지 않는 경우, 권한 또는 기관별 통제와 충돌하지 않는 한 CUI 기본 보호 및 배포 규칙을 적용하십시오.

지정 근거

• DoD 권한 행: 44 USC 3554 - 3555. DoD는 이 인용문을 카테고리에 나열하며; 이 DoD 세부 정보 페이지는 별도의 기본/명시 필드를 표시하지 않습니다.
• 관련 권한 증거: DoD는 이 권한을 카테고리에 대해 나열하며; 링크된 권한 텍스트가 가능한 경우 아래에 추출됩니다.
• 등록 지정 맥락: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 해당하는지 판단하는 데 도움되는 범주 범위 또는 적용 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 공개, 접근, 보호, 공개, 보급 또는 배포 제어와 관련된 취급 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 잘못된 취급에 대한 결과에 영향을 미칠 수 있는 위반, 벌칙, 제재 또는 집행 언어가 포함되어 있습니다.
• 이 범주의 등록 지정은 기본이며 배너는 CUI입니다.

추출된 권한 의미

• 페이지 152 TITLE 44—공공 인쇄물 및 문서 § 3551
• 등록 지정 맥락: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 해당하는지 판단하는 데 도움되는 범주 범위 또는 적용 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 공개, 접근, 보호, 공개, 보급 또는 배포 제어와 관련된 취급 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 잘못된 취급에 대한 결과에 영향을 미칠 수 있는 위반, 벌칙, 제재 또는 집행 언어가 포함되어 있습니다.

운영 조건

• 이 권한과 함께 사용되는 DoD 카테고리 범위: 보호되지 않을 경우 정보 시스템에 부정적 영향을 미칠 수 있는 정보와 관련됨. 정보 시스템이란 정보의 수집, 처리, 유지, 사용, 공유, 배포 또는 폐기를 위해 조직된 개별적인 정보 자원 집합을 의미합니다.
• DoD는 이 카테고리에 대해 이 권한을 나열하며, 사용 가능한 경우 관련 권한 텍스트가 아래에 추출되어 있습니다.
• NARA 레지스트리 상태: 기본. 권한별 NARA 상태 값: 기본. NARA 배너 마킹 증거: CUI. 레지스트리 증거는 여기에 보존되며, 이 범주에 대한 자세한 기본법 또는 규정 텍스트 분석은 진행 중이다.
• NARA 카테고리 범위: 보호되지 않을 경우 정보 시스템에 부정적 영향을 미칠 수 있는 정보와 관련됨. 정보 시스템이란 정보의 수집, 처리, 유지, 사용, 공유, 배포 또는 폐기를 위해 조직된 개별적인 정보 자원 집합을 의미합니다.
• 추출된 권한 조건: L. 114–4, 분류표 참조] ‘국가 보호 및 프로그램 국, 인프라 보호 및 정보 보안’에 $140,525,000가 연방 네트워크 보안 프로그램, 프로젝트 및 활동에 사용되어야 하며, 44 U.S.C. § 3543(a)[현재 44 U.S.C. 3553]에 따라 기관 정보 시스템의 정보 보안을 개선하기 위한 연방 시스템에 기술을 배치하는 데 사용됩니다: 단, 본 조항 하에 제공된 자금은 정부 전체 및 기관별 노력을 지원하여 증가하고 빠르게 진화하는 정보 보안 위협에 대응하기 위한 적절하고 위험 기반이며 비용 효과적인 사이버 보안을 제공하는 데 사용되어야 하며, 연속 모니터링 및 진단 프로그램의 획득 및 운영을 부처 및 기관과 협력하여 포함합니다. 이는 장비, 소프트웨어 및 국토안보부 공급 서비스를 포함합니다: 또한, 본 조항 하에 제공된 자금으로 조달된 연속 모니터링 및 진단 소프트웨어는 국토안보부에 다른 기관 사용자들의 개인 식별 정보 또는 네트워크 통신 내용의 전송을 하지 않아야 합니다: 더 나아가, 해당 소프트웨어는 설치, 유지되어야 합니다...
• 추출된 권한 조건: (b) 추가 정의—본 하위 장에서 사용되는 바: (1) ‘구속력 있는 운영 지침’이란 기관에 대한 필수 지시를 의미하며— (A) 알려지거나 합리적으로 의심되는 정보 보안 위협, 취약점 또는 위험으로부터 연방 정보 및 정보 시스템을 보호하기 위한 목적임; (B) 국장이 발행한 정책, 원칙, 표준 및 지침에 따라야 함; (C) 국장이 발행한 지시가 국장이 개발한 정책 및 원칙에 부합하지 않을 경우 국장이 수정하거나 폐지할 수 있음.
• 추출된 권한 조건: (b) 장관—장관은 국장과 협의하여 국가 보안 시스템 및 하위항 (e)항 (2) 또는 (3)항에 설명된 정보 시스템을 제외하고 기관 정보 보안 정책 및 관행의 시행을 관리하며, 이에는— (1) 국장이 (a)항 (1), (2), (3), (5), (6)항에 따른 권한 및 기능 수행 보조; (2) (a)(1)항에 따라 국장이 개발한 정책, 원칙, 표준 및 지침과 본 하위 장 요구사항을 이행하기 위한 기관 대상 구속력 있는 운영 지침 개발 및 감독; 해당 지침이 국장이 개발한 정책, 원칙, 표준 및 지침에 부합하지 않을 경우 국장이 수정하거나 폐지할 수 있음. 또한— (A) 섹션 3556에 의해 설립된 연방 정보 보안 사고 센터에 대한 보안 사고 보고 요건; (B) 섹션 3554(c)(1)에 따라 제출해야 하는 연례 보고서 내용 요건; (C) 정보 시스템에 대한 긴급 위험 완화 요건; 및 (D) 국장 또는 장관이 국장과 협의하여 지정하는 기타 운영 요건,
• 추출된 권한 조건: (c) 보고.—매년 3월 1일까지, 이사(Director)는 장관과 협의하여 전년도 동안의 정보 보안 정책 및 관행의 효율성에 관한 보고서를 의회에 제출해야 하며, 여기에는— (1) 섹션 3554(c)(1)에 따라 제출되어야 하는 연례 보고서에 기술된 사건들의 요약, 섹션 3554(c)(1)(A)(iii)에 명시된 정보의 요약 포함; (2) 주요 정보 보안 사건 보고 기준에 대한 설명; (3) 섹션 3555에 따라 반드시 수행되어야 하는 평가 결과 요약; (4) 타이틀 40 섹션 11331에 따라 제정된 기준에 대한 기관의 준수 평가; 및 (5) 이사가 발행한 데이터 유출 통지 정책 및 절차에 대한 기관의 준수 평가.
• 추출된 권한 조건: 정의 이 장에서는 섹션 3502의 정의가 적용되며, 용어— (1) "Administrator"는 섹션 3602에 따라 설립된 전자정부국의 행정관을 의미; (2) "Council"은 섹션 3603에 따라 설립된 최고정보책임자(CIO) 위원회를 의미; (3) "electronic Government"는 정부가 웹 기반 인터넷 애플리케이션과 기타 정보 기술을 이용하여, 또한 이러한 기술을 구현하는 프로세스와 결합하여— (A) 대중, 기타 기관, 기타 정부 조직에 대한 정부 정보 및 서비스의 접근성과 제공을 향상시키는 것; 또는 (B) 효과성, 효율성, 서비스 품질 또는 전환을 포함할 수 있는 정부 운영의 개선을 이루는 것; (4) "enterprise architecture"— (A) 의미— (i) 사명을 정의하는 전략적 정보 자산 기반; (ii) 사명을 수행하는 데 필요한 정보; (iii) 사명을 수행하는 데 필요한 기술; 및 (iv) 변화하는 사명 요구에 대응하여 새로운 기술을 구현하기 위한 전환 과정; (B) 포함— (i) 기준 아키텍처(baseline architecture); (ii) 목표 아키텍처(target architecture); 및 (iii) 순차 계획(sequencing plan); (5) "Fund"는 섹션 3604에 따라 설립된 E-정부 기금을 의미;...
• 추출된 권한 조건: (3) "정보 보안(information security)"이란 무단 접근, 사용, 공개, 중단, 변경 또는 파괴로부터 정보 및 정보 시스템을 보호하여 다음을 제공하는 것을 의미함— (A) 무결성(integrity): 부적절한 정보 변경 또는 파괴를 방지하며, 정보 부인방지(nonrepudiation)와 진위(authenticity)를 보장함을 포함; (B) 기밀성(confidentiality): 권한 있는 접근 및 공개 제한을 유지하며, 개인 사생활 및 독점 정보 보호를 위한 수단 포함; (C) 가용성(availability): 정보에 대한 적시적이고 신뢰할 수 있는 접근 및 사용 보장.

보호 및 배포 통제

• DoD 적용 정책: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• NARA 기본 또는 특정: 기본
• NARA 권한 행: 44 USC 3554 (시행 지침은 OMB M-24-04 참조) | 상태: 기본 | 배너: CUI || 44 USC 3555(f) | 상태: 기본 | 배너: CUI
• NARA 배너 표시: CUI
• DoD 적용 정책: DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• 레지스트리 페이지에 DoD 필수 배포 통제가 명시되어 있지 않습니다. 지정 기관 또는 관리 권한이 허용하거나 요구하는 경우에만 승인된 제한 배포 통제를 적용하십시오.
• 레지스트리 주장, NARA 권한 행, DoD 권한, DoD 정책, 경고 문구, 필수 배포 통제 및 예제를 먼저 사용하십시오. 인용된 권한이 처리 세부사항을 명시하지 않는 경우, 권한 또는 기관별 통제와 충돌하지 않는 한 CUI 기본 보호 및 배포 규칙을 적용하십시오.
• 추출된 권한 통제: (3) "정보 보안(information security)"이란 무단 접근, 사용, 공개, 중단, 변경 또는 파괴로부터 정보 및 정보 시스템을 보호하여 다음을 제공하는 것을 의미함— (A) 무결성(integrity): 부적절한 정보 변경 또는 파괴를 방지하며, 정보 부인방지(nonrepudiation)와 진위(authenticity)를 보장함을 포함; (B) 기밀성(confidentiality): 권한 있는 접근 및 공개 제한을 유지하며, 개인 사생활 및 독점 정보 보호를 위한 수단 포함; (C) 가용성(availability): 정보에 대한 적시적이고 신뢰할 수 있는 접근 및 사용 보장.
• 추출된 권한 통제: 이사와 장관의 권한 및 기능 (a) 이사—이사는 정보 보안 정책 및 관행을 감독하며, 여기에는— (1) 타이틀 40 섹션 11331에 따라 제정된 기준의 시기적절한 기관 채택 및 준수를 보장하는 것을 포함하여 정보 보안에 관한 정책, 원칙, 표준, 지침의 개발 및 이행 감독; (2) 해당 섹션 11331 및 이 하위 장의 요구사항에 따라 기관이 무단 접근, 사용, 공개, 중단, 변경 또는 파괴로 인한 위험 및 피해 규모에 걸맞은 정보 보안 보호 조치를 식별하고 제공하도록 요구; (A) 기관을 대리하여 수집 또는 유지하는 정보; 또는 (B) 기관 또는 기관을 대리하는 계약자나 기타 조직이 사용하는 정보 시스템; (3) 장관이 (b)항의 권한과 기능을 수행하도록 보장; (4) 국가안보시스템을 운영하거나 통제하는 기관 및 사무소(국가보안국 포함)와 협력하여 국가표준기술연구소법(National Institute of Standards and Technology Act) 섹션 20(15 U.S.C. 278g–3)에 따른 표준 및 지침 개발 조정;
• 추출된 권한 통제: L. 113–283, § 2(d), 2014년 12월 18일, 128 Stat. 3085에 따라 다음을 규정: "(1) 요구사항.—관리 및 예산국(OMB) 이사는 데이터 유출 통지 정책 및 지침이 정기적으로 갱신되고 다음을 요구하도록 보장해야 함— (A) 제4편 미국 법전(USC) 44조 3554(c)(1)에 명시된 각 의회 위원회, 상원 법사위원회, 하원 법사위원회에 영향을 받은 기관이 통지를 해야 하며, 이는— (i) 기관이 무단 획득 또는 접근을 발견한 날로부터 30일 이내에 신속하게 제공되어야 함; (ii) 포함 내용— (I) 유출 사고에 관한 정보, 통지 시점에 기관이 알고 있는 유출 경위 요약; (II) 통지 시점에 기관이 알고 있는 영향을 받은 개인 수의 추정치 및 피해 위험에 대한 평가; (III) 영향을 받은 개인에게 통지 지연을 필요로 하는 상황 설명; (IV) 기관이 영향을 받은 개인에게 언제 통지를 할지에 대한 추정치;
• 추출된 권한 통제: 국가안보 시스템 각 기관장은 국가안보 시스템을 운영하거나 통제하는 기관이 다음을 보장할 책임이 있음— (1) 무단 접근, 사용, 공개, 중단, 변경 또는 파괴로 인한 위험 및 피해 규모에 상응하는 정보 보안 보호 조치 제공; (2) 법에 따라 발행되고 대통령의 지시에 따라 운영되는 국가안보 시스템용 표준 및 지침에 부합하는 정보 보안 정책 및 관행 구현; 및 (3) 이 하위 장의 요구사항 준수.
• 추출된 권한 통제: (b) 추가 정의—이 하위 장에서 사용되는 용어: (1) "binding operational directive"(구속력 있는 운영 지침)이란 기관에 대해 강제되는 지시로서— (A) 알려진 또는 합리적으로 의심되는 정보 보안 위협, 취약점 또는 위험으로부터 연방 정보 및 정보 시스템을 보호하기 위한 목적; (B) 이사가 발행한 정책, 원칙, 표준 및 지침에 부합할 것; 및 (C) 이사가 해당 지시가 이사가 개발한 정책 및 원칙에 부합하지 않는 경우 해당 지시를 수정하거나 철회할 수 있음.
• 추출된 권한 통제: 목적 이 하위 장의 목적은— (1) 연방 운영 및 자산을 지원하는 정보 자원에 대한 정보 보안 통제의 효율성을 보장하기 위한 포괄적인 프레임워크 제공; (2) 현재 연방 컴퓨팅 환경의 고도로 네트워크화된 특성을 인식하고 관련 정보 보안 위험에 대한 효과적인 정부 전반의 관리 및 감독 제공, 여기에는 민간, 국가안보 및 법 집행 커뮤니티 전반의 정보 보안 노력 조정 포함; (3) 연방 정보 및 정보 시스템 보호를 위한 최소 통제 개발 및 유지 제공; (4) 자동화된 보안 도구를 통해 보안을 지속적으로 진단하고 개선함으로써 연방 기관 정보 보안 프로그램에 대한 향상된 감독 메커니즘 제공; (5) 민간 부문에서 설계, 구축, 운영하는 국가 방위 및 경제 안보에 중요한 정보 기반 시설 보호를 위한 시장 주도형 첨단, 동적, 강력하고 효과적인 상용 정보 보안 제품을 인정;
• 추출된 권한 통제: (2) 권한 사용 절차.—장관은— (A) 국장과 협력하고, 적절한 경우 연방 계약업체와 협의하여, 본 하위 절에 따라 지시가 발행될 수 있는 상황을 규정하는 절차를 마련해야 하며, 여기에는— (i) 임계값 및 기타 기준; (ii) 개인정보 및 시민의 자유 보호; 그리고 (iii) 잠재적으로 영향을 받는 제3자에 대한 통지 제공; (B) 요구되는 조치의 이유와 지시의 기간 명시; (C) 본 하위 절에 따른 지시의 영향을 최소화하기 위해— (i) 기관 정보 시스템을 보호하기 위해 상황에 따른 최소 침해 수단 채택; (ii) 지시를 가능한 한 짧은 기간으로 제한; (D) 본 하위 절에 따른 지시 발행 즉시 국장 및 영향 받는 기관의 장에게 통지; (E) 본 하위 절에 따라 국립표준기술연구소가 개발한 표준 및 지침을 구현하는 지시에 대해 국립표준기술연구소 국장과 협의; (F) 본 하위 절에 따라 발행된 지시가 40조 11331항에 따라 발행된 표준 및 지침과 상충되지 않도록 보장;...

지정 근거

• 관련 권한 증거: DoD는 이 범주에 대해 이 적용 정책을 나열하며, 링크된 정책 텍스트가 가능할 경우 아래에 추출되어 있습니다.
• 등록 지정 맥락: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 해당하는지 판단하는 데 도움되는 범주 범위 또는 적용 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 공개, 접근, 보호, 공개, 보급 또는 배포 제어와 관련된 취급 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 잘못된 취급에 대한 결과에 영향을 미칠 수 있는 위반, 벌칙, 제재 또는 집행 언어가 포함되어 있습니다.
• 이 범주의 등록 지정은 기본이며 배너는 CUI입니다.

추출된 권한 의미

• 제목: DoDI 8500.01, 2014년 3월 14일, 2019년 10월 7일 변경 1 포함
• 등록 지정 맥락: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 해당하는지 판단하는 데 도움되는 범주 범위 또는 적용 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 공개, 접근, 보호, 공개, 보급 또는 배포 제어와 관련된 취급 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 잘못된 취급에 대한 결과에 영향을 미칠 수 있는 위반, 벌칙, 제재 또는 집행 언어가 포함되어 있습니다.

운영 조건

• DoD는 이 범주에 대해 적용 가능한 정책을 나열하며, 가능한 경우 연결된 정책 텍스트를 아래에 추출한다.
• 추출된 권한 조건: 제안 요청서에는 각 제안자가 보안 통제 요구사항을 충족하기 위한 제안 접근 방식을 평가할 수 있는 충분한 정보가 포함되어야 한다.
• 추출된 권한 조건: (b) PIT가 포함될 수 있는 플랫폼의 예는 다음과 같다: 무기 시스템, 훈련 시뮬레이터, 진단 검사 및 유지보수 장비, 교정 장비, 무기 시스템 연구 및 개발에 사용되는 장비, 의료 기기 및 건강 정보 기술, 차량 및 대체 연료 차량(예: 전기, 바이오 연료, 차량 컴퓨터를 포함하는 액화 천연가스), 건물 및 관련 제어 시스템(건물 자동화 시스템 또는 건물 관리 시스템, 에너지 관리 시스템, 화재 및 생명 안전, 물리적 보안, 엘리베이터 등), 전기, 수도, 폐수, 천연 가스 및 증기와 같은 유틸리티 분배 시스템, 산업용으로 설계된 통신 시스템 DoDI 8500.01, 2014년 3월 14일
• 추출된 권한 조건: DoD 구성 요소는 관련 정보 소유자 또는 DoDI 8500.01, 2014년 3월 14일과 보안 승인 패키지를 공유해야 한다.
• 추출된 권한 조건: DoD의 정보 공유 정책 및 절차는 DoDD 8320.02(참조 (cr)) 및 DoDI 8320.07(참조 (cs))에 정의되어 있다.

보호 및 배포 통제

• 추출된 권한 통제: 전자 형식의 모든 DoD 정보는 정보 공유의 중요성과 보호의 중요성을 반영하는 적절한 수준의 기밀성, 무결성 및 가용성을 부여받는다.
• 추출된 권한 통제: 정보 시스템은 참조 (ck)에 따른 인증 요구 사항을 충족하여 무단 접근으로부터 분류 정보 및 CUI를 보호해야 한다. e.
• 추출된 권한 통제: PIT 플랫폼 정보 기술 PKI 공개 키 인프라 PM 프로그램 관리자 PPP 프로그램 보호 계획 RMF 위험 관리 프레임워크 SAP 특수 접근 프로그램 SCAP 보안 콘텐츠 자동화 프로토콜 SCI 민감 구획 정보 SIPRNet 비밀 인터넷 프로토콜 라우터 네트워크 SISO 수석 정보 보안 책임자 SM 시스템 관리자 SP 특별 간행물 SRG 보안 요구 가이드 SSE 시스템 보안 엔지니어링 STIG 보안 기술 구현 가이드 T&E 테스트 및 평가 TPM 신뢰할 수 있는 플랫폼 모듈 TRANSEC 전송 보안 TSN 신뢰 시스템 및 네트워크 U.S.C.
• 추출된 권한 통제: (2) DoD 발원 및 DoD 제공 정보를 포함한 임무 파트너 정보 시스템에서 해당 정보는 적절하게 보호되어야 하며, 요구되는 보호 수준을 명시하는 문서화된 협약이 필요하다.
• 추출된 권한 제어: DoD 작업 지원에 사용되는 신원 의존 기능, 프로세스 및 절차를 지원하는 정보 및 인프라(신원 증명 자격을 포함하되 이에 국한되지 않음)는 신원 데이터 또는 신원 증명 자격의 기밀성, 무결성, 진위 및 가용성을 보장하기 위한 조치를 포함해야 합니다.
• 추출된 권한 제어: 고의적, 의도적 또는 과실로 DoDI 8500.01, 2014년 3월 14일에 규정된 DoD 보안 요구 사항의 구현을 보장하지 않아 DoD 정보를 손상시키거나 위험에 빠뜨린 경우 사법적 제재가 가해집니다.

지정 근거

• 관련 권한 증거: DoD는 이 범주에 대해 이 적용 정책을 나열하며, 링크된 정책 텍스트가 가능할 경우 아래에 추출되어 있습니다.
• 등록 지정 맥락: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 해당하는지 판단하는 데 도움되는 범주 범위 또는 적용 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 공개, 접근, 보호, 공개, 보급 또는 배포 제어와 관련된 취급 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 잘못된 취급에 대한 결과에 영향을 미칠 수 있는 위반, 벌칙, 제재 또는 집행 언어가 포함되어 있습니다.
• 이 범주의 등록 지정은 기본이며 배너는 CUI입니다.

추출된 권한 의미

• 제목: DoDI 8510.01, "DoD 시스템을 위한 위험 관리 프레임워크", 2022년 7월 19일
• 등록 지정 맥락: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 해당하는지 판단하는 데 도움되는 범주 범위 또는 적용 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 공개, 접근, 보호, 공개, 보급 또는 배포 제어와 관련된 취급 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 잘못된 취급에 대한 결과에 영향을 미칠 수 있는 위반, 벌칙, 제재 또는 집행 언어가 포함되어 있습니다.

운영 조건

• DoD는 이 범주에 대해 적용 가능한 정책을 나열하며, 가능한 경우 연결된 정책 텍스트를 아래에 추출한다.
• 추출된 권한 조건: (6) 임무 및 정보 환경 지표에 비추어 보안 승인 문서 패키지를 검토하고 FISMA에 설명된 보고 요구 사항을 위해 책임 CIO 또는 CISO에게 조치 방안을 제공합니다.
• 추출된 권한 조건: 상호 의존적인 정보 기술 인프라 네트워크 내의 잠재적 상황이나 사건을 의미하며, 여기에는 통신 네트워크, 컴퓨터 시스템, 임베디드 프로세서 및 컨트롤러가 포함됩니다.
• 추출된 권한 조건: > 작업 P-2 > 위험 관리 전략 > 조직을 위한 위험 관리 전략이 수립되어 있으며, 조직 위험 허용도에 대한 결정과 표현이 포함됩니다. [CSF: ID.RM; ID.SC] > 기관장 > 작업 P-3 > 위험 평가 – 조직 > 조직 전체 위험 평가가 완료되었거나 기존 위험 평가가 갱신되었습니다. [CSF: ID.RA; ID.SC-2] > • 위험 관리 수석 책임자 또는 위험 집행관 (기능) > • 수석 기관 정보 보안 책임자 (ISO) > • 기관 개인정보 책임자 > 작업 P-4 > 조직 맞춤형 통제 기준 및 CSF 프로필(선택 사항) > 조직 맞춤형 통제 기준 및/또는 CSF 프로필이 설정되고 제공됩니다. [CSF: 프로필] > • 임무 또는 업무 소유자 > 위험 관리 수석 책임자 또는 위험 집행관 (기능)

보호 및 배포 통제

• 추출된 권한 제어: CNSSI No. 1253에 따라 시스템이 분석, 저장 및 전달하는 정보를 기반으로 시스템을 분류하며, 조직의 운영 및 자산, 개인, 타 조직 및 국가에 대한 기밀성, 무결성 및 가용성 손실의 잠재적 영향을 분석합니다.
• 추출된 권한 제어: DoD RMF 실무자들은 DoD 정보 기술을 보호하는 데 필요한 적절한 방법, 표준 및 관행을 효과적이고 효율적으로 적용하기 위해 RMF 지침, 표준 및 도구에 접근할 필요가 있습니다.
• 추출된 권한 제어: (b) DoDI 8500.01 및 NIST SP 800-39에 설명된 위험 집행 기능을 수행하며, 승인된 기업 시스템에 대해 기업 수준의 위험 수용 결정을 내림으로써 사이버 보안 상호 인정 요구 사항을 충족합니다.
• 추출된 권한 제어: DoD 구성 요소 획득 프로그램 집행 사무소 및 PM이 시스템 유지 관리 중 트레이드오프 결정(예: 의도된 운영 환경 조건 하에서 시스템 생존성에 상당한 영향을 미치는 취약성 수정 보류 또는 지연 결정)을 요구 스폰서, AO 및 구성 요소 사이버 공간 운영 부대와 조정하도록 책임이 있음을 확인합니다.
• 추출된 권한 제어: 국가지정 보안 시스템의 전반적 보안 태세를 평가하고, 취약점을 식별하며, DoD에 대한 위협 정보를 배포합니다.
• 추출된 권한 제어: (1) 적응형 획득 프레임워크는 DoDI 5000.02에 정의되고 설명되어 있습니다.

지정 근거

• 관련 권한 증거: DoD는 이 범주에 대해 이 적용 정책을 나열하며, 링크된 정책 텍스트가 가능할 경우 아래에 추출되어 있습니다.
• 레지스트리 지정 문맥: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 속하는 시기를 결정하는 데 도움이 되는 범주 범위 또는 적용성 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 처리와 관련된 공개, 접근, 보호, 공개, 배포 또는 배포 제어 언어가 포함되어 있습니다.
• 이 범주의 등록 지정은 기본이며 배너는 CUI입니다.

추출된 권한 의미

• 제목: DoDI 8531.01, "DoD 취약점 관리", 2020년 9월 15일
• 레지스트리 지정 문맥: 기본, CUI. 연결된 권한 텍스트에는 정보가 이 CUI 범주에 속하는 시기를 결정하는 데 도움이 되는 범주 범위 또는 적용성 언어가 포함되어 있습니다. 연결된 권한 텍스트에는 처리와 관련된 공개, 접근, 보호, 공개, 배포 또는 배포 제어 언어가 포함되어 있습니다.

운영 조건

• DoD는 이 범주에 대해 적용 가능한 정책을 나열하며, 가능한 경우 연결된 정책 텍스트를 아래에 추출한다.
• 추출된 권한 조건: (2) VDP를 통해 DoD에 제출된 정보는 DODIN 시스템, 하위 시스템 또는 시스템 구성 요소의 취약점을 방어적 목적으로 완화하거나 수정하는 데 사용되어야 합니다.
• 추출된 권한 조건: • 정책을 수립하고 책임을 할당하며 DoD 정보 네트워크(DODIN) 내의 모든 소프트웨어, 펌웨어 및 하드웨어에서 식별된 취약점에 대한 DoD 취약점 관리 및 대응 절차를 제공합니다.
• 추출된 권한 조건: 모든 DoD 취약점 관리, 자산 관리, 구성 관리 및 수정 또는 완화 관리 문제 또는 우려 사항을 미국 사이버 사령부(USCYBERCOM) 및 합동군 본부-DoD 정보 네트워크(JFHQ-DODIN) 사령관과 조정합니다.
• 추출된 권한 조건: 이전에 영향을 받은 시스템에 대한 지속적 모니터링을 위해 정확한 시스템 정보를 얻기 위해 매월 인증되지 않은 및 인증된 취약성 스캔을 수행합니다.

보호 및 배포 통제

• 추출된 권한 제어: (6) 기밀성, 무결성 또는 가용성 손실이 DoD 운영, 조직 자산 또는 개인에 미칠 수 있는 영향의 세부 사항 (예: 제한적, 심각, 치명적 또는 파멸적 영향).
• 추출된 권한 제어: 시스템 및 네트워크 상의 정보 보호를 위한 보안 정책 및 관련 정보 및 보안 문제에 대해 DoD SISO와 협력합니다.
• 추출된 권한 제어: DoD 구성 요소는 취약점이 수정 또는 완화되지 않을 경우 무결성, 기밀성 및 가용성의 예상 손실을 결정하기 위한 영향 평가를 수행합니다.
• 추출된 권한 제어: 개별 사례별로 어떤 복구 또는 완화 방법이 가장 유익한지 결정하고 기밀성, 무결성 및 가용성 손실을 고려합니다.
• 추출된 권한 통제: 모든 DoD 시스템의 전반적인 보안 태세를 평가하고, USCYBERCOM과 협력하여 DoD 시스템 구성요소에 영향을 미치는 위협 및 취약성에 대한 정보를 배포합니다.