合规与框架
NIST SP 800-53
别称: SP 800-53, NIST 800-53
定义
NIST 发布的安全与隐私控制综合目录,适用于美国联邦信息系统及众多私营部门采用者。
NIST 特别出版物 800-53 是美国国家标准与技术研究院(NIST)发布的权威安全与隐私控制目录,目前为第 5 版(Rev. 5)。它定义了数百项控制,归入 20 个控制族(如访问控制、审计与责任、系统与通信保护等),并附有控制增强项和补充指南。SP 800-53 在 FISMA 和 FedRAMP 框架下对美国联邦信息系统具有强制性,同时被全球的承包商、州政府和关键基础设施运营者广泛采用。组织通常依据 NIST SP 800-53B 选择基线(低、中、高),并根据自身风险情况进行裁剪。
示例
- 联邦机构采用中等基线以在 FISMA 下授权新系统。
- FedRAMP 云服务提供商将控制映射到高基线。
相关术语
NIST 网络安全框架
由美国国家标准与技术研究院发布的自愿性、基于风险的框架,将网络安全目标分为六大核心功能。
NIST SP 800-171
NIST 发布的标准,规定非联邦组织在存储或处理受控非保密信息(CUI)时必须满足的安全要求。
FISMA
FISMA — definition coming soon.
FedRAMP
FedRAMP — definition coming soon.
NIST Risk Management Framework
NIST Risk Management Framework — definition coming soon.
安全控制
用于预防、检测或应对针对信息资产威胁的技术、管理或物理保障措施。