契約事業者はいつどのようにサイバーインシデントを報告したらよいか?
契約事業者が管理対象契約事業者システムまたはその中に存在するCUIに影響を及ぼすサイバーインシデントを発見した場合に報告が必要です 。報告する場合、契約事業者はDIBNetポータル(https://dibnet.dod. […]
「潜在的な悪影響がある」サイバーインシデントとは何か
潜在的な悪影響の例としては、(例えば、アンチウィルスまたはエンドポイント保護によって)ブロックされていない契約事業者の情報システムまたはネットワーク上におけるマルウェアの発見です。そのケースでは、何らかのメカニズムを介し […]
CUIレジストリとは何か
CUIレジストリ(www.archives.gov/cui/registry/category-list.html)には承認済のCUI(区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本(basic)C […]
CUIとは何か、どのように定められその定義は何か?
"CUIは、法、規則、または政府全体のポリシーによって保護または配布管理が求められている情報です。CUIレジストリには承認済のCUI(区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本(basic)CU […]
CUIであると識別/マーク(表示)する責任者は誰か?
発注者側に基本的に責任があります。契約事業者が契約の履行に際して開発したCUIについて、マークするように作業書(契約データ要件リストなどの)によるなどにより、契約書、作業指示書、または物品引き渡し指図書に要件を含むことを […]
契約事業者は下請事業者を監査(audit)する責任があるか? もしそうなら、法令準拠はどのように実証したら良いか? 小規模事業者はどのように彼らのサプライチェーンを監査したら良いか?
主契約事業者(プライム(最上位)コントラクター)は、本規則のフローダウン要件を実施する責任があります。主契約事業者は、下請事業者を評価または監査するために通常用いているどのような仕組みを用いることもできます。
米国政府は、NIST SP 800-171の適用に関して必要とされているセキュリティ要件の実装を確実にするために契約事業者を監視する意図はあるか?
"DFARS規則には、契約事業者が要求されたセキュリティ要件の実装状況を政府が監視するための独自の要件または追加要件を追加していません。これらの要件における契約事業者の適合性については、既存の一般的に適用される契約事業者 […]