合规与框架
NIST SP 800-171
别称: SP 800-171, NIST 800-171
定义
NIST 发布的标准,规定非联邦组织在存储或处理受控非保密信息(CUI)时必须满足的安全要求。
NIST 特别出版物 800-171 规定非联邦组织——主要是与美国政府合作的承包商和分包商——如何在其系统中保护受控非保密信息(CUI)。当前 Rev. 3 版本定义了约 100 项安全要求,分为 17 个族,源自 NIST SP 800-53,涵盖访问控制、审计、配置管理、事件响应等内容。美国国防承包商必须依据 DFARS 7012 合规,且该标准是 CMMC 2 级的技术基础。实施组织需要编制系统安全计划(SSP)和行动与里程碑计划(POA&M)以证明符合性。
示例
- 国防部承包商实施 800-171 以满足 DFARS 252.204-7012。
- 研究型大学在联邦资助项目中处理 CUI。