应对未标记与错误标记的受控非密信息（CUI）指南

本文详细介绍了如何识别和处理受控非密信息（CUI）的标记问题，包括正确标记标准、常见标记错误及应对措施。内容涵盖NARA和DoD的标记规范，帮助承包商准确识别CUI并正确处理标记异常情况。

应对未标记与错误标记的CUI

实施CMMC和其他受控非密信息（CUI）保护义务依赖于准确识别CUI，在某些情况下还依赖于识别适用于每个文档的CUI类别和有限传播控制。

正确的CUI标记

了解真实的CUI标记外观有助于识别文档是否被错误标记，并防止将其他标记与CUI标记混淆。

国家档案和记录管理局（NARA）负责政府范围内的CUI计划，包括CUI标记标准。NARA CUI标记指南提供了标准标记的详细信息。至少每个包含CUI的文档必须包含：

每页顶部的横幅，显示“CUI”或“CONTROLLED”
指定信息为CUI的机构名称（机构信头可用于此目的）

图1 - 带有NARA标准CUI标记的示例文档

当CUI属于需要额外保障的特定类别和/或CUI受到有限传播控制时，CUI横幅将包含额外信息。

谁负责标记CUI？

CUI标记本质上是政府职能，政府机构在将CUI传播给承包商之前必须标记CUI。这是因为CUI被定义为政府本身必须根据CUI注册表中列出的特定法律、法规和政府范围政策保护的信息。

承包商仅在非常特殊的情况下才应将文档标记为CUI：

将CUI从一个文档复制到另一个文档时
政府机构通知承包商必须在创建时将某种类型的信息标记为CUI时

CUI标记错误

承包商可能将其他类型的标记与CUI标记混淆。只有标准CUI标记表示CUI的存在。常见的混淆标记包括：

DoD分发声明
ITAR和/或EAR出口管制标记
CUI计划之前的传统标记，包括FOUO、SBU、LES等

处理错误标记的CUI

承包商（特别是分包商）可能会遇到各种有疑问的文档：

带有潜在不正确CUI标记的文档
带有CUI标记但看起来不像CUI的文档
没有CUI标记但看起来可能是CUI的文档

在所有情况下，正确的做法是承包商（或分包商）直接联系政府机构的合同官员，就处理信息的特定合同提出问题。

下一步行动

随着政府范围内CUI合同条款提案正在监管流程中推进，这一问题将变得更加重要。该提案要求在发现未标记、错误标记和意外CUI后八小时内向政府合同官员报告。

comments powered by Disqus