保护受控未分类信息 Rev 3

建立系统边界是评估敏感但未公开信息（CUI）未经授权披露风险的前提条件。风险评估考虑威胁、漏洞、可能性以及对组织运营和资产的负面影响，这些都是基于系统的运行和使用以及CUI的未经授权披露。风险评估还会考虑来自外部方的风险（例如承包商代表组织操作系统、服务提供商、访问系统的个人以及外包实体。风险评估可以在组织层面、任务或业务流程层面、系统层面进行，也可以在系统开发生命周期的任何阶段进行。风险评估包括与供应商或承包商相关的供应链风险，以及他们提供的系统、系统组件或系统服务的风险。