DoD合同条款包括处理CUI的要求，这些要求在过去几年中不断发展：

DFARS 252.204-7012规定了保护CUI的基本要求，这根据NIST 800-171中定义的110项控制措施制定。组织必须声明其符合这些控制措施的大部分，并制定行动计划和里程碑(POAM)满足剩余的控制措施要求。该条款还要求组织在出现危及政府客户CUI安全的网络事件时通知政府客户。 

-7012条款于2017年首次出台。政府于2023年出台3个与CUI相关的新条款：-7019、-7020和-7021。

DFARS 252.204-7019扩展了7012的报告要求。组织必须对其系统进行评估才能生成评分。该评分必须报告给供应商绩效风险系统(SPRS)网站，政府机构和总承包商可在该网站查看评分。评估和评分必须每3年更新一次。

DFARS 252.204-7020定义了-7019的不同评估级别。评估可根据CUI数据的类型由组织或政府团队执行。该条款规定，如果政府机构决定进行这些审查，他们将有权这样做。

DFARS 252.204-7021创建了CMMC计划。该计划定义了3个供应商级别，每个级别有不同的评估要求。1级供应商必须满足NIST 800-171中的15项基本控制措施要求，并且评估工作由该供应商组织完成。2级供应商必须满足全部110项控制措施要求，并由获得认证的CMMC第三方评估组织(C3PAO)进行评估。3级供应商必须由政府官员直接评估。在一封澄清函中，DoD确认CMMC将与NIST 800-171第2版保持一致，尽管第3版已于2024年发布。

完整的CMMC计划于2024年末发布，首批要求-7021的合同于2025年初发布。

CMMC对IT团队具有明显影响。这些团队必须确保组织的数据系统（电子邮件、数据存储、办公工具和开发工具）符合CMMC要求。于多数公司而言，IT团队负责遵守CMMC、接受评估并签署合规声明。 

测试系统在过去几十年中一直被排除在众多此类安全计划之外。但测试系统正在处理包括CUI在内的敏感政府数据。测试系统与已部署到政府网络中的系统相连接，对测试系统的恶意攻击会导致政府系统受损。测试系统是安全防御系统的重要组成部分，必须纳入CMMC评估范围。 

这意味着测试系统必须符合NIST 800-171控制措施的要求。但测试系统对这些控制措施的遵守方式与主流IT系统有所不同。例如，IT控制措施要求定期更新以保持系统处于最新状态。测试系统不能以相同的频率更新，更新必须经过全面测试以确保系统持续运行，并且更新必须在测试完成后应用。在测试过程中应用更新可能会导致测试延迟甚至出现安全问题。 

为理解这些差异，将测试设备归为操作技术(OT)而非信息技术(IT)。操作技术(OT)安全指南NIST 800-82为理解IT和OT系统在安全方面的差异提供了指导。这是IT团队为测试系统制定安全策略的重要文件。

NI与全球的测试团队紧密合作，保护其测试系统免受恶意攻击。团队成功实施了以下安全原则：

• 尽早与IT安全团队建立明确且开放的沟通渠道。努力理解其命令和指导方针，并投入时间向供应商团队介绍测试操作的工作方式。 

• 将安全开发框架纳入开发流程。NIST 800-218提供了团队在生成安全解决方案时应遵循的一套实践规则。

• 与能提供所需功能和文档的可靠供应商合作。如果组件由重视安全问题的公司提供，则更容易证明系统的安全性。如果供应商能够提供SBOM、易失性声明、合规性矩阵和安全实施指南等文档，则可减少文书工作负担。 

• 培养安全文化，并培训团队认真对待安全问题。

• 制定计划确保持续安全性。更新测试系统会给测试团队带来实际负担。更新会扰乱测试工作流程，团队可能需要重新验证系统。您需要考虑与操作流程相匹配的持续更新计划，并确保客户或公司准备好为这些持续更新提供资金。

• 向他人学习。NI每年举办两次测试系统安全峰会，演讲内容将发布到测试系统安全论坛。参加这些会议，提出问题并了解行业最佳实践。 

如需了解NIST 800-171中描述的要求，请参阅CMMC要求。

• 订阅安全公告
• 下载安全更新
• 报告安全问题

^{Linux​®的使用获得了Linus Torvalds专属授权商LMI的再授权，Linus Torvalds拥有Linux®注册商标在全球范围内的所有权。}