保护受控未分类信息 Rev 3

外部系统是指被组织使用但不属于组织的一部分的系统。这些系统包括个人拥有的系统、系统组件或设备；商业或公共设施中私有的计算和通信设备；非联邦组织拥有或控制的系统；以及由承包商管理的系统。组织可以选择禁止使用任何类型的外部系统或特定类型的外部系统（例如，禁止使用非组织拥有的外部系统）。条款和条件与与拥有、运营或维护外部系统的实体建立的信任关系一致，并包括共享责任的描述。被授权的个人包括组织人员、承包商或其他具有组织系统访问权限的个人，组织对其有权施加关于系统访问的特定行为规则。组织对被授权个人施加的限制可能因组织之间的信任关系而有所不同。组织需要确认外部系统满足必要的安全要求，以免危及、破坏或损害系统。此要求与03.16.03相关。