ビジネスとサービス
CUIレジストリとは何か
CUIレジストリ(www.archives.gov/cui/registry/category-list.html)には承認済のCUI(区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本(basic)C […]
CUIとは何か、どのように定められその定義は何か?
"CUIは、法、規則、または政府全体のポリシーによって保護または配布管理が求められている情報です。CUIレジストリには承認済のCUI(区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本(basic)CU […]
CUIであると識別/マーク(表示)する責任者は誰か?
発注者側に基本的に責任があります。契約事業者が契約の履行に際して開発したCUIについて、マークするように作業書(契約データ要件リストなどの)によるなどにより、契約書、作業指示書、または物品引き渡し指図書に要件を含むことを […]
契約事業者は下請事業者を監査(audit)する責任があるか? もしそうなら、法令準拠はどのように実証したら良いか? 小規模事業者はどのように彼らのサプライチェーンを監査したら良いか?
主契約事業者(プライム(最上位)コントラクター)は、本規則のフローダウン要件を実施する責任があります。主契約事業者は、下請事業者を評価または監査するために通常用いているどのような仕組みを用いることもできます。
米国政府は、NIST SP 800-171の適用に関して必要とされているセキュリティ要件の実装を確実にするために契約事業者を監視する意図はあるか?
"DFARS規則には、契約事業者が要求されたセキュリティ要件の実装状況を政府が監視するための独自の要件または追加要件を追加していません。これらの要件における契約事業者の適合性については、既存の一般的に適用される契約事業者 […]
NIST SP 800-171の適用に関して法令準拠要件に関する第三者機関の評価が求められるのか?
"第三者評価または認証(certification)は、DoDによる要求も、認定(authorized)も、承認もされていません。契約書に署名することにより、契約事業者は契約条件を遵守することに同意したことになります。C […]
DoDは、契約事業者が求められるセキュリティ要件に適合していることを認定(certify)するのか?
"いいえ、本規則による新たな管理監督の枠組みは作成されません。DFARSの252.204-7012の準拠規定は、契約事業者/下請事業者が本条項のすべての要件に適合することを求めています。契約書に署名することにより、契約事 […]
外国の下請事業者と協業している場合、(例えば、サイバーインシデントの報告やDoDへのデジタル画像の提供など)相手国の現地の法律と矛盾するためにフローダウンすることができないといった条項要件についてはどのように解決するのか?
DFARSは一般的に米国の契約事業者のために書かれており、外国のパートナー/下請け関係によって導入される複雑な状況については考慮していません。サイバーインシデントのDoDへの直接的な報告、DoDへのマルウェアとメディアの […]