SP 800-53：联邦IT系统最低安全控制

SP 800-53：联邦IT系统最低安全控制

SP 800-53是NIST系统认证与认可项目的第二部分。它的目标是“根据IT系统对机密性、完整性和机密性的低、中、高关注度，为其建立一组标准的最低安全控制。”它从其他的很多联邦资料获取信息，这些资料包括NIST.SP 800--26，美国国防部(DoD) 8500 号政策，clirector of central intelligence directive6-3，ISO/IEC标准17799，以及美国审计总署( GAO，General Accounting Office)的联邦信息系统控制审计手册。

正如先前的NIST文档（特别是SP 800-18）提到的，SP 800-53中的安全控制被划分为我们熟悉的3类：管理、操作和技术。这3个种类中的每一类都处理了安全问题的不同方面，包括“风险管理、系统开发与采集、配置管理、系统交互、人员安全、安全意识提升、教育和培训、物理以及环境保护、媒质保护、应急计划、硬件与系统软件维护、系统和数据的完整性、文档记录、事故响应能力、识别和认证、逻辑访问、审计和通讯。”对于C&A标准来说，关键要素是一个新的概念，这个概念最初是在SP 800-26里面定义的。关键要素表示“系统中与安全相关的重要中心领域，该系统的每一个关键要素都有一个或多个相应的安全控制。”因为技术在不停地发展，所以各种安全控制也会不断地进步，并且它还会需要另外的控制机制。 图64描述了认证认可流程中的参与者。

　　NIST SP 800-53，联邦信息技术系统最低安全控制，以及它的配套文件，NIST SP 800-53A，联邦信息技术系统安全控制有效性检验技术和流程，预计在2003年末或者2004年初发布。