美國國家標準技術研究所(National Institute of Standards and Technology, NIST)於6/13發布了NIST SP 800-171A,Assessing Security Requirements for Controlled Unclassified Information。美國聯邦政府要求欲與聯邦政府簽署合約的組織企業,利用此指引來評估確認其是否符合處理聯邦政府所規範之受控制非機密資訊(Controlled Unclassified Information, CUI)的要求。
NIST SP 800-171A,其中包含100多項對組織企業的要求,以測試它們是否符合聯邦政府規定處理敏感資訊的程序。該指引旨在找出組織企業安全方面的潛在問題,挑出環境弱點威脅並執行降低風險措施。該指引對於每個要求,均提出至少一種方式可以分析它是否符合聯邦政府規範。NIST的研究員Ron Ross表示,使用CUI的組織企業可以自我測試,使用第三方稽核員,或者在某些情況下由政府官員進行檢查。大多數組織企業都會選擇自我測試。