ספקים וקבלנים של סוכנויות פדרליות וממלכתיות אחרות חייבים להיות תואמים לדרישות התקן, מכיוון שהסוכנויות עשויות לבקש מהם להוכיח תאימות ל- NIST SP 800-171 בכל רגע.

מה זה תקן NIST 800-171?

התקן מכסה את תחום אבטחת הגנה על מידע מבוקר ולא מסווג הנשמר בארגונים לא פדרליים אשר נותנים שירותים לארגונים פדרליים. ארגונים שאינם פדרליים המעבדים, מאחסנים או מעבירים מידע פדרלי רגיש, יכולים להיות:

מהו מידע מבוקר ולא מסווג? Controlled Unclassified Information

מידע מבוקר ולא מסווג הוא מידע לא מסווג שנוצר עבור גוף ממשלתי אמריקאי ונדרשת הגנה על המידע. מידע שכזה יכול להיות: הודעות דוא"ל, קבצים, שרטוטים, מידע של חברה או ספק שמסווג מסחרית (הזמנות רכש, חוזים) ורשומות פיזיות. התקן מפרט 14 קטגוריות של מידע. עבור כל קטגוריה התקן מנחה אילו הגנות ספציפיות נדרשות על המידע.

איך מתארגנים כדי לעמוד בדרישות התקן?

על מנת לעמוד בדרישות התקן הארגון נדרש למלא שאלון הערכה עצמית. לאחר מכן, הארגון נדרש לסגור את הפערים שזוהו בשאלון באמצעות הוספות אמצעים להגנה על המידע וכתיבת נהלים. לתקן אין תהליך הסמכה רשמי אלא הארגון מצהיר שהוא עומד בדרישות התקן לאחר שענה על השאלון וסגר את פרצות אבטחת המידע שאותרו בסקר.