保护受控未分类信息 Rev 3

建立系统边界是评估敏感但未公开信息（CUI）未经授权披露风险的前提条件。风险评估考虑威胁、漏洞、可能性以及对组织运营和资产的负面影响，这些都是基于系统的运行和使用以及CUI的未经授权披露。风险评估还会考虑来自外部方的风险（例如承包商代表组织操作系统、服务提供商、访问系统的个人以及外包实体。风险评估可以在组织层面、任务或业务流程层面、系统层面进行，也可以在系统开发生命周期的任何阶段进行。风险评估包括与供应商或承包商相关的供应链风险，以及他们提供的系统、系统组件或系统服务的风险。

此要求涉及在生成行动计划和里程碑（POAM）条目之前，确定对风险的适当应对措施的必要性。可能可以立即缓解风险，从而不需要生成 POAM 条目。然而，如果风险应对措施是缓解已识别的风险且缓解无法立即完成，则需要生成 POAM 条目。

组织确定系统组件所需的漏洞扫描，并确保不会忽略潜在的漏洞来源（例如，联网打印机、扫描仪和复印机）。自定义软件的漏洞分析可能需要额外的方法，例如静态分析、动态分析或二进制分析。组织可以在源代码审查和工具中使用这些方法。例如，静态分析工具、基于网络的应用扫描器、二进制分析器。漏洞扫描包括扫描补丁级别；扫描用户或设备不应访问的功能、端口、协议和服务；以及扫描配置不当或运行不正确的流量控制机制。为了促进互操作性，组织考虑使用以通用漏洞与披露（CVE）命名规范表示漏洞的扫描工具。漏洞信息的来源还包括通用弱点枚举（CWE）列表、国家漏洞数据库（NVD）以及通用漏洞评分系统（CVSS）。