Information Systems Vulnerability Information

指定证据

• NARA授权条目：44 USC 3554（见OMB M-24-04实施指南）| 状态：基础 | 标识：CUI。
• 相关授权证据：44 USC 3554（见OMB M-24-04实施指南）| 状态：基础 | 标识：CUI

提取的授权含义

未列出任何项

适用条件

• 与此授权一起使用的NARA类别范围：涉及信息系统的相关信息，如若未受保护，可能导致不利影响。信息系统指为收集、处理、维护、使用、共享、传播或处置信息而组织的一套独立信息资源。
• 44 USC 3554（见OMB M-24-04实施指南）| 状态：基础 | 标识：CUI
• NARA注册状态：基础。每授权NARA状态值：基础。NARA旗标标识证据：CUI。此处保留注册证据；该类别的详细主体法律或法规文本分析仍在进行中。
• NARA类别范围：涉及信息系统的相关信息，如若未受保护，可能导致不利影响。信息系统指为收集、处理、维护、使用、共享、传播或处置信息而组织的一套独立信息资源。

保护和传播控制

• NARA注册控制证据：状态为基本；横幅标记为CUI。
• Nara 基本或指定：基本
• Nara授权条目：44 USC 3554（见OMB M-24-04实施指南）| 状态：基础 | 标识：CUI || 44 USC 3555(f) | 状态：基础 | 标识：CUI
• Nara 横幅标记：CUI
• 国防部适用政策：DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• 注册页未列出DoD要求的传播控制。仅在指定机构或管理权威要求或允许时应用批准的有限传播控制。
• 请优先使用注册声明、NARA权威条目、DoD权威、DoD政策、警告声明、所需的传播控制及示例。若所引用权威未指明处理细节，则适用CUI Basic保障和传播规则，只要它们不与权威或机构特定控制冲突。

指定证据

• NARA授权条目：44 USC 3555(f) | 状态：基础 | 标识：CUI。
• 相关授权证据：44 USC 3555(f) | 状态：基础 | 标识：CUI

提取的授权含义

未列出任何项

适用条件

• 与此授权一起使用的NARA类别范围：涉及信息系统的相关信息，如若未受保护，可能导致不利影响。信息系统指为收集、处理、维护、使用、共享、传播或处置信息而组织的一套独立信息资源。
• 44 USC 3555(f) | 状态：基础 | 标识：CUI
• NARA注册状态：基础。每授权NARA状态值：基础。NARA旗标标识证据：CUI。此处保留注册证据；该类别的详细主体法律或法规文本分析仍在进行中。
• NARA类别范围：涉及信息系统的相关信息，如若未受保护，可能导致不利影响。信息系统指为收集、处理、维护、使用、共享、传播或处置信息而组织的一套独立信息资源。

保护和传播控制

• NARA注册控制证据：状态为基本；横幅标记为CUI。
• Nara 基本或指定：基本
• Nara授权条目：44 USC 3554（见OMB M-24-04实施指南）| 状态：基础 | 标识：CUI || 44 USC 3555(f) | 状态：基础 | 标识：CUI
• Nara 横幅标记：CUI
• 国防部适用政策：DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• 注册页未列出DoD要求的传播控制。仅在指定机构或管理权威要求或允许时应用批准的有限传播控制。
• 请优先使用注册声明、NARA权威条目、DoD权威、DoD政策、警告声明、所需的传播控制及示例。若所引用权威未指明处理细节，则适用CUI Basic保障和传播规则，只要它们不与权威或机构特定控制冲突。

指定证据

• 国防部授权条目：44 USC 3554 - 3555。国防部为该类别列出了此引用；本国防部详情页面未显示单独的基础/特定字段。
• 相关授权证据：国防部为该类别列出此授权；链接的授权文本在可用时提取如下。
• 注册指定上下文：基本，CUI。链接的权限文本包含分类范围或适用性语言，有助于确定信息何时属于此CUI类别。链接的权限文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。链接的权限文本包含违反、处罚、制裁或执法语言，可能影响误处理的后果。
• 此类别的注册指定为基本，横幅为CUI。

提取的授权含义

• 第152页 标题44—公共印刷与文件 § 3551
• 注册指定上下文：基本，CUI。链接的权限文本包含分类范围或适用性语言，有助于确定信息何时属于此CUI类别。链接的权限文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。链接的权限文本包含违反、处罚、制裁或执法语言，可能影响误处理的后果。

适用条件

• 与此授权使用的国防部类别范围：涉及信息系统的相关信息，如若未受保护，可能导致不利影响。信息系统指为收集、处理、维护、使用、共享、传播或处置信息而组织的一套独立信息资源。
• DoD为该类别列出此权威；当可用时，以下提取链接权威文本。
• NARA注册状态：基础。每授权NARA状态值：基础。NARA旗标标识证据：CUI。此处保留注册证据；该类别的详细主体法律或法规文本分析仍在进行中。
• NARA类别范围：涉及信息系统的相关信息，如若未受保护，可能导致不利影响。信息系统指为收集、处理、维护、使用、共享、传播或处置信息而组织的一套独立信息资源。
• 摘录授权条件：L. 114–4，见分类表]，用于“国家保护与计划局，基础设施保护和信息安全”，拨款140,525,000美元用于联邦网络安全项目、计划和活动，应部署技术于联邦系统以改善机构信息系统的安全（涵盖之前标题44第3543(a)节[现为44 U.S.C. 3553]）：条件是本节拨款应用于支持政府范围及机构特定的努力，提供充分、基于风险且成本效益的网络安全，以应对信息安全上升和快速发展的威胁，包括与部门和机构协作，运作持续监控与诊断程序，包含设备、软件及国土安全部提供的服务；进一步条件是， 使用本节资金采购的持续监控与诊断软件不得向国土安全部传输任何个人身份信息或其他机构用户的网络通信内容；进一步条件是，应安装、维护...
• 摘录授权条件：(b) 额外定义。— 本子章节中使用的定义： (1) “强制性操作指令”是指对机构的强制性指示，旨在保护联邦信息和信息系统免受已知或合理怀疑的信息安全威胁、漏洞或风险；(B) 应符合主管制定的政策、原则、标准及指南；(C) 若经主管决定该指示未符合主管所制定的政策和原则，可由主管修订或废止。
• 摘录授权条件：(b) 部长。— 部长应与主管协商，管理机构信息安全政策和信息系统实践的实施，国家安全系统及(e)小节第(2)或(3)项所述的信息系统除外，包括— (1) 协助主管实施(a)小节第(1)、(2)、(3)、(5)及(6)项的权限和职能；(2) 制定且监督实施针对机构的强制性操作指令，以执行主管根据(a)(1)小节制定的政策、原则、标准及指南，并符合本子章节要求。如主管决定发布的操作指令不符合其制定的政策、原则、标准及指南，则可修订或废止，内容包括— (A) 向联邦信息安全事件中心报告安全事件的要求； (B) 年度报告提交内容要求，依据第3554(c)(1)节； (C) 信息系统紧急风险缓解的要求； (D) 主管或部长经协商后确定的其他操作要求，...
• 提取的权限条件：(c) 报告。—每年3月1日之前，主任应与部长协商，向国会提交上一年度的信息安全政策及实践效果报告，包括—— (1) 根据第3554(c)(1)节要求提交的年度报告中描述的事件摘要，包括根据第3554(c)(1)(A)(iii)节要求的信息摘要； (2) 重大信息安全事件报告门槛的描述； (3) 根据第3555节要求执行的评估结果摘要； (4) 对机构遵守《美国法典》第40标题第11331节颁布的标准的评估；及 (5) 对机构遵守主任发布的数据泄露通知政策和程序的评估。
• 提取的权限条件：定义 在本章中，适用第3502节下的定义，且该术语—— (1) “Administrator”（管理员）指根据第3602节设立的电子政府办公室主任； (2) “Council”（委员会）指根据第3603节设立的首席信息官委员会； (3) “electronic Government”（电子政府）指政府使用基于网络的互联网应用和其他信息技术，结合实施这些技术的流程，以—— (A) 增强公众、其他机构及其他政府实体对政府信息和服务的获取和交付；或 (B) 带来政府运作的改进，包括有效性、效率、服务质量或转型； (4) “enterprise architecture”（企业架构）—— (A) 指—— (i) 定义任务的战略信息资产基础； (ii) 执行任务所需的信息； (iii) 执行任务所需的技术；及 (iv) 响应任务需求变化，实施新技术的过渡流程；及 (B) 包括—— (i) 基线架构； (ii) 目标架构；及 (iii) 排序计划； (5) “Fund”（基金）指根据第3604节设立的电子政府基金；...
• 提取的权限条件：(3) 术语“information security”（信息安全）是指保护信息和信息系统免受未经授权的访问、使用、披露、干扰、修改或破坏，以确保—— (A) 完整性，指防止不当的信息修改或破坏，包括确保信息不可否认性和真实性； (B) 保密性，指维护对访问和披露的授权限制，包括保护个人隐私和专有信息的手段；及 (C) 可用性，指确保及时且可靠地访问和使用信息。

保护和传播控制

• 适用的DoD政策：DoDI 8500.01，DoDI 8510.01，DoDI 8531.01
• Nara 基本或指定：基本
• Nara授权条目：44 USC 3554（见OMB M-24-04实施指南）| 状态：基础 | 标识：CUI || 44 USC 3555(f) | 状态：基础 | 标识：CUI
• Nara 横幅标记：CUI
• 国防部适用政策：DoDI 8500.01, DoDI 8510.01, DoDI 8531.01
• 注册页未列出DoD要求的传播控制。仅在指定机构或管理权威要求或允许时应用批准的有限传播控制。
• 请优先使用注册声明、NARA权威条目、DoD权威、DoD政策、警告声明、所需的传播控制及示例。若所引用权威未指明处理细节，则适用CUI Basic保障和传播规则，只要它们不与权威或机构特定控制冲突。
• 提取的权限控制：(3) 术语“information security”（信息安全）是指保护信息和信息系统免受未经授权的访问、使用、披露、干扰、修改或破坏，以确保—— (A) 完整性，指防止不当的信息修改或破坏，包括确保信息不可否认性和真实性； (B) 保密性，指维护对访问和披露的授权限制，包括保护个人隐私和专有信息的手段；及 (C) 可用性，指确保及时且可靠地访问和使用信息。
• 提取的权限控制：主任和部长的权限与职能 (a) 主任。—主任应监督机构的信息安全政策和实践，包括—— (1) 制定和监督信息安全政策、原则、标准和指南的实施，包括确保机构及时采纳并遵守根据第40标题第11331节颁布的标准； (2) 要求机构根据该11331节颁布的标准及本子章节的要求，识别并提供与未经授权访问、使用、披露、干扰、修改或破坏所导致的风险和伤害程度相称的信息安全保护，涉及—— (A) 由机构或代表机构收集或维护的信息；或 (B) 由机构或机构承包商或其他代表机构组织使用或操作的信息系统； (3) 确保部长履行(b)款下的权限和职能； (4) 协调根据《国家标准与技术研究院法案》第20节(15 U.S.C. 278g–3)与运营或控制国家安全系统(包括国家安全局)的机构和办公室共同制定标准和指南，以确保...
• 提取的权限控制：2014年12月18日颁布的第113-283号法律第2(d)节，128卷法案3085页，规定：“(1) 要求。—管理和预算办公室主任应确保数据泄露通知政策和指南定期更新，并要求—— (A) 除第(4)项另有规定外，受影响机构须向第44标题3554(c)(1)节中所述的每个国会委员会、本节增加的参议院司法委员会及众议院司法委员会发送通知，该通知—— (i) 应迅速提供，且不迟于机构发现未经授权获取或访问之日起30天内；及 (ii) 应包括—— (I) 关于泄露的信息，包括机构在提供通知当日已知的泄露发生方式摘要； (II) 根据机构在提供通知当日已知的信息，对受影响个人数量的估计，包括对受影响个人遭受伤害风险的评估； (III) 说明向受影响个人提供通知的延迟原因；及 (IV) 估计机构是否以及何时会向受影响个人提供通知；...
• 提取的权限控制：国家安全系统 各运营或控制国家安全系统的机构负责人应确保该机构—— (1) 提供与未经授权访问、使用、披露、干扰、修改或破坏系统内信息导致风险和伤害程度相称的信息安全保护； (2) 根据法律要求和总统指示，实施适用于国家安全系统的标准和指南所要求的信息安全政策和实践；及 (3) 遵守本子章节的要求。
• 提取的权限控制：(b) 附加定义。—在本子章节中使用的术语： (1) “binding operational directive”（有约束力的操作指令）指对机构的强制性指令，其—— (A) 目的是保障联邦信息及信息系统免受已知或合理怀疑的信息安全威胁、漏洞或风险； (B) 应符合主任发布的政策、原则、标准和指南；及 (C) 若该指令不符合主任制定的政策和原则，主任可修订或撤销。
• 提取的权限控制：目的 本子章节的目的如下—— (1) 为支持联邦运营和资产的信息资源提供确保信息安全控制有效性的综合框架； (2) 认识到当前联邦计算环境的高度网络化特征，并提供对相关信息安全风险的有效政府范围内的管理与监督，包括协调文职、国家安全和执法社区的信息安全工作； (3) 发展和维护保护联邦信息及信息系统所需的最低控制措施； (4) 通过自动化安全工具持续诊断和改进安全，为联邦机构信息安全项目提供改进的监督机制； (5) 承认商业开发的信息安全产品提供先进、动态、稳健及有效的信息安全解决方案，反映了用于保护对国家防御和经济安全至关重要的关键信息基础设施的市场解决方案，这些基础设施由私营部门设计、建设和运作；...
• 提取的授权控制：(2) 权限使用程序。—秘书应当—(A) 与主任协调，并在适当情况下与联邦承包商协商，建立管理在本小节下发布指令的情形的程序，其中应包括—(i) 阈值和其他标准；(ii) 隐私和公民自由保护；以及 (iii) 向可能受影响的第三方提供通知；(B) 指定所需行动的理由和指令的持续时间；(C) 通过以下方式减少本小节下指令的影响—(i) 采用在特定情况下可能的最少侵入性的方法保障机构信息系统安全；(ii) 将指令限制在最短可行期限内；(D) 在发布本小节下的指令时立即通知主任和任何受影响机构的负责人；(E) 就实施国家标准与技术研究院制定的标准和指南的任何本小节下的指令，咨询国家标准与技术研究院主任；(F) 确保本小节下颁布的指令不与第40编第11331节下发布的标准和指南相冲突；...

指定证据

• 相关权限证据：DoD 列出了该类别的适用政策；在可用的情况下，链接的政策文本提取如下。
• 注册指定上下文：基本，CUI。链接的权限文本包含分类范围或适用性语言，有助于确定信息何时属于此CUI类别。链接的权限文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。链接的权限文本包含违反、处罚、制裁或执法语言，可能影响误处理的后果。
• 此类别的注册指定为基本，横幅为CUI。

提取的授权含义

• 标题：DoDI 8500.01，2014年3月14日，2019年10月7日纳入变更1
• 注册指定上下文：基本，CUI。链接的权限文本包含分类范围或适用性语言，有助于确定信息何时属于此CUI类别。链接的权限文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。链接的权限文本包含违反、处罚、制裁或执法语言，可能影响误处理的后果。

适用条件

• DoD为该类别列出适用政策；当可用时，下方提取链接的政策文本。
• 提取的授权条件：征求建议书将包含充足信息以评估各报价方满足安全控制要求的提案方法。
• 提取的授权条件：(b) 可能包含PIT的平台示例包括：武器系统、训练模拟器、诊断测试和维护设备、校准设备、用于武器系统研发的设备、医疗设备和健康信息技术、车辆及替代燃料车辆（例如包含车载计算机的电动、生物燃料、液化天然气车辆）、建筑及其相关控制系统（建筑自动化系统或建筑管理系统、能源管理系统、火灾及生命安全、物理安全、电梯等）、公用事业配电系统（如电力、水、废水、天然气和蒸汽）、专为工业设计的电信系统 DoDI 8500.01，2014年3月14日
• 提取的授权条件：国防部部门必须与受影响的信息所有者共享安全授权包，或 DoDI 8500.01，2014年3月14日
• 提取的授权条件：国防部的信息共享政策和程序定义于DoDD 8320.02（参考文献(cr)）和DoDI 8320.07（参考文献(cs)）中。

保护和传播控制

• 提取的授权控制：所有电子格式的国防部信息将赋予适当的机密性、完整性和可用性水平，以反映信息共享和保护的重要性。
• 提取的授权控制：信息系统必须通过要求根据参考文献(ck)进行身份验证，在做出访问决定前保护机密信息和CUI免遭未经授权访问。e.
• 提取的授权控制：PIT平台信息技术 PKI 公钥基础设施 PM 计划经理 PPP 计划保护计划 RMF 风险管理框架 SAP 特别访问计划 SCAP 安全内容自动化协议 SCI 机密隔离信息 SIPRNet 秘密互联网协议路由器网络 SISO 高级信息安全官 SM 系统管理员 SP 特别出版物 SRG 安全要求指南 SSE 系统安全工程 STIG 安全技术实施指南 T&E 测试与评估 TPM 可信平台模块 TRANSEC 通信安全 TSN 可信系统和网络 U.S.C.
• 提取的授权控制：(2) 国防部起源且由国防部提供、驻留在任务伙伴信息系统上的信息必须得到适当充分的保护，并且有文件协议指明所需的保护级别。
• 提取的授权控制：支持身份依赖功能、流程和程序的信息和基础设施，用于支持DoD的操作，包括但不限于身份凭证的处理，将采取措施确保身份数据或身份凭证的机密性、完整性、真实性和可用性。
• 提取的授权控制：如果他们明知、故意或疏忽未确保实施2014年3月14日DoDI 8500.01中的DoD安全要求而危及、损害或置DoD信息于风险，将面临司法制裁。

指定证据

• 相关权限证据：DoD 列出了该类别的适用政策；在可用的情况下，链接的政策文本提取如下。
• 注册指定上下文：基本，CUI。链接的权限文本包含分类范围或适用性语言，有助于确定信息何时属于此CUI类别。链接的权限文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。链接的权限文本包含违反、处罚、制裁或执法语言，可能影响误处理的后果。
• 此类别的注册指定为基本，横幅为CUI。

提取的授权含义

• 标题：DoDI 8510.01，《DoD系统风险管理框架》，2022年7月19日
• 注册指定上下文：基本，CUI。链接的权限文本包含分类范围或适用性语言，有助于确定信息何时属于此CUI类别。链接的权限文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。链接的权限文本包含违反、处罚、制裁或执法语言，可能影响误处理的后果。

适用条件

• DoD为该类别列出适用政策；当可用时，下方提取链接的政策文本。
• 提取的授权条件：(6) 根据任务和信息环境指标，审查安全授权文件包，并确定行动方案，提供给负责的首席信息官(CIO)或首席信息安全官(CISO)，以满足FISMA中描述的报告要求。
• 提取的授权条件：信息技术基础设施的相互依存网络中的潜在情况或事件，包括电信网络、计算机系统以及嵌入式处理器和控制器。
• 提取的授权条件：> 任务P-2 > 风险管理策略 > 组织的风险管理策略，包括确定和表达组织风险容忍度。[CSF: ID.RM; ID.SC] > 机构负责人 > 任务P-3 > 风险评估 – 组织 > 完成全组织的风险评估，或更新现有风险评估。[CSF: ID.RA; ID.SC-2] > • 风险管理高级责任官或风险执行官（职能） > • 机构高级信息安全官(ISO) > • 机构高级隐私官 > 任务P-4 > 组织专属控制基线和CSF配置文件（可选） > 建立并提供组织专属的控制基线和/或CSF配置文件。[CSF: 配置文件] > • 任务或业务所有者 > 风险管理高级责任官或风险执行官（职能）

保护和传播控制

• 提取的授权控制：根据CNSSI第1253号文件，根据系统分析、存储和传递的信息，以及对潜在机密性、完整性和可用性损失对组织运营和资产、个人、其他组织及国家影响的分析，对系统进行分类。
• 提取的授权控制：DoD RMF从业者需要获取RMF指导、标准和工具，以有效且高效地应用保护DoD信息技术所需的适当方法、标准和实践。
• 提取的授权控制：(b) 按照DoDI 8500.01和NIST SP 800-39执行风险执行职能，并对授权的企业系统做出企业级风险接受决策，满足网络安全互认的要求。
• 提取的授权控制：验证DoD组件采购项目执行办公室和项目经理在系统维护期间负责协调权衡决策（即延迟或拒绝漏洞修复的决定，该决定显著影响系统在预期操作环境下的生存能力），与需求发起人、授权官(AO)及组件网域作战力量协调。
• 提取的授权控制：评估国家安全系统的整体安全态势，识别其漏洞，并传播关于对DoD威胁的信息。
• 提取的授权控制：(1) 自适应采购框架已在DoDI 5000.02中定义和示例说明。

指定证据

• 相关权限证据：DoD 列出了该类别的适用政策；在可用的情况下，链接的政策文本提取如下。
• 注册指定上下文：基本，CUI。链接的授权文本包含类别范围或适用性语言，有助于确定何时信息属于此CUI类别。链接的授权文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。
• 此类别的注册指定为基本，横幅为CUI。

提取的授权含义

• 标题：DoDI 8531.01，《DoD漏洞管理》，2020年9月15日
• 注册指定上下文：基本，CUI。链接的授权文本包含类别范围或适用性语言，有助于确定何时信息属于此CUI类别。链接的授权文本包含与处理相关的披露、访问、保护、发布、传播或分发控制语言。

适用条件

• DoD为该类别列出适用政策；当可用时，下方提取链接的政策文本。
• 提取的授权条件：(2) 通过VDP提交给DoD的信息必须用于防御目的，以缓解或修复DODIN系统、子系统或系统组件中的漏洞。
• 提取的授权条件：• 建立政策，分配职责，提供程序，用于DoD漏洞管理和对DoD信息网络（DODIN）内所有软件、固件和硬件中识别漏洞的响应。
• 提取的授权条件：就DoD漏洞管理、资产管理、配置管理及修复或缓解管理的任何问题或关切，与美国网络司令部(USCYBERCOM)指挥官和联合部队总部-DoD信息网络(JFHQ-DODIN)协调。
• 提取的授权条件：每月进行非认证和认证的漏洞扫描，以获取准确的系统信息，用于连续监控之前受到影响的系统。

保护和传播控制

• 提取的授权控制：(6) 详细说明机密性、完整性或可用性丧失可能如何影响DoD运营、组织资产或个人（例如，有限、严重、灾难性或灾变性影响）。
• 提取的授权控制：与DoD高级信息安全官(SISO)协调安全政策及相关情报和安全事宜，以保护系统和网络上的信息。
• 提取的授权控制：DoD组件将执行影响评估，以确定在漏洞未修复或未缓解的情况下，完整性、机密性和可用性可能预期的损失。
• 提取的授权控制：根据具体情况确定最有利的修复或缓解方法，并考虑机密性、完整性和可用性的丧失。
• 提取的权威控制：评估所有DoD系统的整体安全态势，并与USCYBERCOM协调，传播影响DoD系统组件的威胁和漏洞信息。