美國受控非密信息分類與安全控制解析

周亞超　左曉棟

摘? ?要：在我國《中華人民共和國網絡安全法》（本文簡稱《網絡安全法》）和《數據安全管理辦法》等政策中都使用了“重要數據”的概念，并與網絡數據安全管理、數據出境安全評估等多項網絡安全制度的實施密切相關。盡管國外沒有使用“重要數據”的概念，但對非個人數據、非國家秘密信息的安全管理屬于常態，只是各國的管理重點各有不同。美國將政府數據中介于保密數據與公開數據之間，需要限制公開或控制傳播的數據歸為受控非密信息（CUI），實施統一的登記備案和標識管理制度，并通過技術標準將其范圍擴大到了非聯邦機構和系統的CUI。文章梳理了CUI概念和分類，總結了CUI相關標準中的安全控制要求，并與一般安全保護要求進行比較。CUI研究對我國重要數據識別和管理方面的政策和標準制定具有借鑒意義。

關鍵詞：受控非密信息;重要數據;分類;安全控制

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

Abstract： The concept of "key data" is used in China's "Cybersecurity Law" and "Data Security Management Regulation" and other policies， and is closely related to the implementation of several cybersecurity requirements such as network data security management and data outbound assessment. Although the concept of "key data" is not used abroad， the security management of non-personal data and non-state secret information is normal practices， only varies from country to country. The United States defines CUI as government data between confidential data and public data， although its not state secret but may cause serious potential damage once it disclosed or damaged， and implements unified identification and management. Besides， the scope of application of CUI information is expanded to non-federal agencies and systems through the development of technical standards. This article investigates the concept and categories of CUI， analyzes the management mechanism and security controls of CUI through NIST standards and compares with general security requirements. Research on CUI is meaning to the identification and management of key data.

Key words： CUI; key data; categorization; security controls

1 引言

重要數據的概念最早在《網絡安全法》中正式出現，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”。2019年5月，中央網信辦發布的《數據安全管理辦法（征求意見稿）》對重要數據安全管理提出備案、明確安全責任人以及采取安全措施等方面的要求;同期發布的《網絡安全審查辦法（征求意見稿）》也將重要數據安全作為審查的一個方面，重點評估采購活動可能帶來的國家安全風險，包括考慮導致大量個人信息和重要數據泄露、丟失、毀損、出境的可能性等因素。……