國防部合約條款包含處理 CUI 的規定，這些條款在過去幾年來不斷有所進化：

DFARS 252.204-7012 概述保護 CUI 的基本規定。此規定以 NIST 800-171 中定義的 110 項控制措施為基礎。企業組織必須證明其符合上述多數控制措施，並透過「行動計畫與里程碑」(POAM)，來符合其餘控制措施。此條款也要求企業組織在發生會對政府 CUI 造成風險的網路事件時，必須通知政府客戶。 

7012 條款於 2017 年最先推出。2023 年，政府推出與 CUI 相關的 3 項新條款：7019、7020 與 7021。

DFARS 252.204-7019 擴充了 7012 的回報規定。企業組織必須對其系統進行評估，產生分數。此分數必須回報至「供應商績效風險系統」(SPRS) 網站，政府機構與主要承包商可在此網站查看分數。這些評估與分數必須每 3 年更新一次。

DFARS 252.204-7020 為 7019 定義了不同的評估等級。評估可由企業組織或政府團隊進行，視 CUI 資料類型而定。此條款規定，政府機構如決定進行評估，則有權這麼做。

DFARS 252.204-7021 規定建立 CMMC 計畫。此計畫將供應商分為 3 個不同等級，且各等級各有不同的評估規定。第 1 級供應商必須符合 NIST 800-171 的 15 項基本控制措施，並由供應商組織進行評估。第 2 級供應商必須符合所有 110 項控制措施，並由有認證的 CMMC 第三方評估組織 (C3PAO) 來進行評估。第 3 級供應商必須由政府官員直接進行評估。國防部已透過說明函來確認，CMMC 將符合 NIST 800-171 修訂版2，即使修訂版3 已於 2024 年發布。

完整的 CMMC 計畫已於 2024 年底發布，且需要符合 7021 規定的首批合約將於 2025 年初簽發。

CMMC 會對 IT 團隊造成明顯衝擊。這些團隊必須確保企業組織的資料系統 (電子郵件、資料儲存、辦公室工具與開發工具) 符合 CMMC 規定。在多數公司中，IT 團隊負責遵守 CMMC 規定、取得評估並簽署證明符合規範的聲明。 

過去數十年來，許多安全計畫都將測試系統排除在外。但測試系統會處理包括 CUI 在內的敏感政府資料。測試系統會連接要部署在政府網路內的系統，如測試系統遭受惡意攻擊，政府系統就會受損。測試系統是安全防禦系統的重要元件，必須納入 CMMC 評估中。 

這代表，測試系統必須符合 NIST 800-171 控制措施規定。但達到這些控制措施規定的方法必須不同於主流 IT 系統。舉例來說，IT 控制措施規定要經常更新，讓系統保持最新狀態。測試系統不能以相同頻率保持更新，更新必須經過完整測試，以確保作業持續運作，而且必須在不同測試之間套用更新。在一項測試的期間內套用更新，可能會導致測試進度延遲，甚至造成安全問題。 

為了解這些差異，測試設備會歸類於操作技術 (OT)，而非資訊技術 (IT)。NIST 800-82「操作技術 (OT) 安全指南」提供一些指引，讓您了解 IT 與 OT 系統之間的安全差異。這份文件在 IT 團隊為測試系統建立安全策略時極為重要。

NI 與全球各地的測試團隊密切合作，力求防禦測試系統不受惡意攻擊。績效卓越的團隊會執行下列安全原則：

• 儘早與 IT 安全團隊建立清晰開放的溝通管道。了解他們的職責與準則，並花時間向他們介紹測試作業的操作方式。 

• 將安全性開發架構納入您的開發流程中。NIST 800-218 提供一套團隊應遵循的實務，協助他們開發安全性解決方案。

• 與有信譽的供應商合作，他們應具備可為您提供所需功能與說明文件的能力。如果元件是來自於嚴肅對待安全性的公司，則較容易證明系統安全。如供應商能提供如 SBOM、波動性聲明、符合性矩陣，與安全執行指南等文件，則您可減少文書作業負擔。 

• 建立安全文化，並訓練您的團隊，讓他們嚴肅對待安全。

• 建立一套可常保安全的計畫。更新測試系統會為測試團隊帶來巨大負擔，對測試工作流程形成干擾。這可能需要重新驗證系統。您需要為這些更新考慮一套符合營運流程的持續型計畫，且確保客戶或公司已準備好資金持續進行這些更新。

• 從他人學習。NI 每年舉辦 2 場測試系統安全高峰會議，並在測試系統安全論壇發表簡報。歡迎參與這些會議，提出問題，並了解業界最佳實務。 

若要深入了解 NIST 800-171 所說明的規定，請見 CMMC 規定。

• 訂閱安全公告
• 下載安全更新項目
• 回報安全問題

^{Linux® 係根據 LMI 的轉授權許可使用，Linus Torvalds 持有此商標在全球的擁有權，LMI 則取得了 Linus Torvalds 的獨家授權。}