美国国家标准技术研究院(NIST)已发布建议草案，以供公众审查，以确保驻留在承包商和为政府工作的其他非联邦组织的计算机上的敏感联邦信息的机密性。

　　该指南与国家档案局(NARA)合作制定，针对2010年《行政命令》中关于处理“受控的非机密信息”或CUI的要求，旨在针对联邦机构。就文件草案“ 保护非联邦信息系统和组织中的受控未分类信息”(草案特别出版物800-171)* 提交意见的截止日期为2015年1月16日。

　　13556号行政命令将NARA的任务标准化了联邦行政部门保护CUI的方式。该命令还要求对CUI进行保护，以符合管理和预算办公室(OMB)的“美国国家标准与技术研究院发布的适用的政府范围内的标准和指南以及适用的政策”。

　　NIST研究员兼新书的主要作者罗恩·罗斯(Ron Ross)表示：“目前，不同的机构以许多不同的方式处理有关参与联邦活动的承包商和其他组织系统的联邦信息，包括大学，大学以及州，地方和部落政府。”指南。

　　这些组织从事科学研究，进行安全检查的背景调查，提供金融服务，开发技术以支持联邦机构的任务或代表联邦政府从事其他工作时，它们可能会处理个人身份信息，财务数据，医疗记录和其他敏感数据。

　　由于没有一致的指导来确保在非联邦信息系统上获得这种“敏感但未分类”的信息，因此“非联邦组织从联邦机构那里收到了有关如何处理相同信息的相互矛盾的指导，这引起了混乱和低效率，” NARA主管约翰·菲茨帕特里克(John Fitzpatrick)说。信息安全监督办公室。

　　NARA确定了执行行政命令的三步程序。

　　菲茨帕特里克说：“首先，我们定义了需要在整个政府范围内用标准化程序保护的CUI类别，并且现在有一项提议的联邦CUI规则正在接受OMB审查。”

　　现在，NARA正在与NIST合作开发SP 800-171，以根据《联邦信息安全管理法》为CUI制定清晰，一致且实质性的安全要求。SP 800-171包括针对非联邦实体量身定制的安全要求和控制(主要来自NIST联邦信息处理标准200和SP 800-53)。

　　Fitzpatrick说：“这份出版物以及NARA制定单一政府范围CUI指令的计划，以及我们制定统一的联邦采购法规条款以应用它们的第三步，都将为CUI的处理带来清晰性和一致性。”