SP 800-53：聯(lián)邦I(lǐng)T系統(tǒng)最低安全控制

SP 800-53是NIST系統(tǒng)認(rèn)證與認(rèn)可項(xiàng)目的第二部分。它的目標(biāo)是“根據(jù)IT系統(tǒng)對(duì)機(jī)密性、完整性和機(jī)密性的低、中、高關(guān)注度，為其建立一組標(biāo)準(zhǔn)的最低安全控制?！彼鼜钠渌暮芏嗦?lián)邦資料獲取信息，這些資料包括NIST.SP 800--26，美國(guó)國(guó)防部(DoD) 8500 號(hào)政策，clirector of central intelligence directive6-3，ISO/IEC標(biāo)準(zhǔn)17799，以及美國(guó)審計(jì)總署( GAO，General Accounting Office)的聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)。

正如先前的NIST文檔（特別是SP 800-18）提到的，SP 800-53中的安全控制被劃分為我們熟悉的3類：管理、操作和技術(shù)。這3個(gè)種類中的每一類都處理了安全問(wèn)題的不同方面，包括“風(fēng)險(xiǎn)管理、系統(tǒng)開(kāi)發(fā)與采集、配置管理、系統(tǒng)交互、人員安全、安全意識(shí)提升、教育和培訓(xùn)、物理以及環(huán)境保護(hù)、媒質(zhì)保護(hù)、應(yīng)急計(jì)劃、硬件與系統(tǒng)軟件維護(hù)、系統(tǒng)和數(shù)據(jù)的完整性、文檔記錄、事故響應(yīng)能力、識(shí)別和認(rèn)證、邏輯訪問(wèn)、審計(jì)和通訊?！睂?duì)于C&A標(biāo)準(zhǔn)來(lái)說(shuō)，關(guān)鍵要素是一個(gè)新的概念，這個(gè)概念最初是在SP 800-26里面定義的。關(guān)鍵要素表示“系統(tǒng)中與安全相關(guān)的重要中心領(lǐng)域，該系統(tǒng)的每一個(gè)關(guān)鍵要素都有一個(gè)或多個(gè)相應(yīng)的安全控制。”因?yàn)榧夹g(shù)在不停地發(fā)展，所以各種安全控制也會(huì)不斷地進(jìn)步，并且它還會(huì)需要另外的控制機(jī)制。 圖64描述了認(rèn)證認(rèn)可流程中的參與者。

　　NIST SP 800-53，聯(lián)邦信息技術(shù)系統(tǒng)最低安全控制，以及它的配套文件，NIST SP 800-53A，聯(lián)邦信息技術(shù)系統(tǒng)安全控制有效性檢驗(yàn)技術(shù)和流程，預(yù)計(jì)在2003年末或者2004年初發(fā)布。