252.204-7012
DFARS 「252.204-7012 管理対象防衛情報(CDI)の保護とサイバーインシデント報告」
DFARS 252.204-7012 「CDIの保護とサイバーインシデント報告」 は、契約事業者に対し、その内部情報システムやネットワークにおいて処理・保存・伝送されるCDIに 「適切な(Adequate)セキュリティ」措置を施すよう義務づけ(require)ています。
DoDは、契約において、契約事業者に提供されるCDIのすべてについて、標記(mark)またはその他の方法により特定しなければならず、かつ、当該契約に、契約事業者がその契約履行過程において作成したCDIに標記しなければならない旨の要求事項を確実に入れるようにしなければなりません。
契約事業者は、適切なセキュリティ措置を施すために、最低限、標準技術研究所(NIST)特別出版物(SP)SP800-171「非連邦政府組織および情報システムにおけるCUIの保護」を、2017年12月31日までに実装しなければなりません。
※
OFFICE OF THE UNDER SECRETARY OF DEFENSE
MEMORANDUM FOR COMMANDER, UNITED STATES SPECIAL OPERATIONS
「Implementation of DFARS Clause 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting」 (SEP 21 2017) より