保护受控未分类信息 Rev 3

该要求涉及对受控未分类信息（CUI）的保护政策和程序。政策和程序有助于保障安全，应涵盖CUI安全要求的每个类别。政策可以作为组织安全政策的一部分，也可以通过单独的政策来体现，以应对每个类别的安全要求。程序描述了政策如何实施，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全计划中，也可以记录在一个或多个单独的文档中。

行为规范代表了一种面向系统用户的访问协议类型。组织会根据各个用户的角色和职责考虑处理 CUI 的行为规范，并区分适用于特权用户的规则和适用于普通用户的规则。

系统安全计划提供了处理、存储和传输受控非公开信息（CUI）的系统的关键特征，以及系统和信息如何受到保护。系统安全计划包含足够的信息，以便实现设计和实施，使其明确符合计划的意图，并在按照预期实施计划时进行后续风险评估。系统安全计划可以是文件的集合，包括已经存在的文件。有效的系统安全计划会参考提供额外详细信息的政策、程序和文件（例如，设计规范）。这减少了与安全程序相关的文档要求，并将安全信息保存在与企业架构、系统开发生命周期、系统工程和采购相关的其他已建立的管理或运营领域中。