NIST SP800-171に入る前に、まずCUIとは何かを正確に知る必要があります。CUIは、管理対象となるが秘密指定されていない情報のことを言います。
例を挙げると、電子メール、電子ファイル、設計図、図面、会社や請負業者などの情報(受注や契約など)、物理的な記録(印刷物など)などがあります。また重要なのは、CUIはデジタルファイルに限定されないということです。サーバ、デスクトップ、ラップトップ、モバイルデバイスなどに送信・格納された電子ファイルを処理、保存する情報システムから印刷された紙なども含まれます。
CUIは、高度なセキュリティのクリアランスを必要とするほど敏感ではないもので構成されています。しかし、CUIが流出した場合には損害を与える可能性が出て来る、そのような類の情報がCUIです。
悪意のある人がこの情報をどのように悪用するか、想像するのは難しいことではありません。しかし、多くの人々がCUIにアクセスする正当な理由があることは明らかであり、あまりにも多くの保護手段を設けることは、多くの組織の効率を制限することになります。