DODI 5200.48
DODI 5200.48は、管理対象非機密情報(CUI)のポリシー、責任、および手順と、DOD CUIリポジトリを制定しています。
DOD Releases New Controlled Unclassified Information Instruction 2/19/2020 NDIA news CUI
これは、CUIの共有における課題に対応し、矛盾する定義とマーキング要件に対処することを目的としています。CUIは、組織または個人が当該情報へのアクセスに対して「合法的な政府の目的」を持つことを要求します。これは、Classified情報へのアクセスに必要な「知る必要:need-to-know」よりも低い標準です。 NIST SP 800-171はCUIの標準セキュリティ要件の概要を示していますが、一部のCUIは国家安全保障への影響に基づいて追加の保護が必要になる場合があります。
CUIを保存、処理、または伝送する非DODシステムのセキュリティ要件は、すべての契約に組み込まれ、8582.01に従います。 DODは契約に際し、CUIが集約されることによって機密(classified)情報が生成されてしまう可能性について監視することも請負業者に要求する必要があります。
さらに、DODのCUIは、防衛、プライバシー、所有権などのインデックスに編成されます。 インデックスとカテゴリの公式に維持されているリストは、次のDOD Interlink WebサイトのDOD CUIレジストリに保存されています。アクセスするには、政府のCommon Access Card(CAC)が必要です。
DODI 5200.48に基づき、政策担当国防長官は、CUIを外国政府、NATO、およびその他の協定に開示することに関するポリシーと手順、およびCUIが国際協定、取り決め、および外国のパートナーへの輸出管理許可を有する契約で特定される要件について、管理責任があります。
調達および持続(Sustainment)のための国防長官(USD(A&S))は、契約および合意に関連する国防総省のCUIを保護するために、DFARSに従ってプロセス、ポリシー、および手順を維持(maintaining)する責任があります。 USD(A&S)は、防衛請負業者に関連する連邦調達規制(FAR)へのCUI要件の実装をサポートする責任もあります。
研究とエンジニアリングのための国防長官(USD(R&E))は、CUIを補助金と共同研究開発の手配のために保護するプロセス、ポリシー、および手順を確立する責任があります。 DOD CIOは、CUIメタデータのタグ付け規定(tagging standards)を統合および監督し、防衛産業基盤(DIB)のサイバーセキュリティ活動を監督します。
DODで管理されているか、アクセス制御されたWebサイトまたはデータベースに保存されているレガシーCUIドキュメントに再度マークを付ける必要はありません。 ただし、レガシードキュメントから派生した新しいドキュメントは新しいマーキング標準を反映している必要があり、DODの外部で共有されているすべてのドキュメントは配布前に再マーキングする必要があります。
「CUI」は、ヘッダー、フッター、および部分にマーキングされた従来のマーキングを置き換えます。 「CUI」の前に「U // FOUO」の「U」などのUnclassifiedのマークを付ける必要はありませんが、混合ドキュメントでは「U」または「CUI」を適切にマークする必要があります。 また、「CUI」は、必要に応じて「NOFORN(NFとも:Not Releasable to Foreign Nations:米国人のみ)」や「REL TO(Releasable only to U.S. citizens and foreign nationals of specified countries and international organizations, or multinational forces.)」などの他のサブカテゴリや配付に関するマーキングと組み合わせることができます。
<参考ドキュメント>
(原文) DOD INSTRUCTION 5200.48
CONTROLLED UNCLASSIFIED INFORMATION (CUI) PDF
