2018保護非聯(lián)邦信息系統(tǒng)和組織中受控的非分NIST.SP.800-171r2

NIST特別出版物800?171修訂版2保護受控非機密非聯(lián)邦系統(tǒng)和組織中的信息P2計算機系統(tǒng)技術(shù)報告(NIST(ITLITL(IT產(chǎn)性使用。ITL800ITL行業(yè)、政府和學(xué)術(shù)組織的合作活動。PP2抽象的(CUICUI中列出的CUI類別，授權(quán)法律、法規(guī)或政府政策沒有規(guī)定保護CUI機密性的具體保護要求。這些要求適用于處CUI關(guān)鍵詞CUI13556FIPS物；S；；T商標信息所有名稱均為其各自所有者的商標或注冊商標。第三頁PP2專利公開通知(ITLITLITLITL（LITL并未聲明或暗示使用本出版物時無需獲得許可即可避免專利侵權(quán)。注意事項2014(CUI[FISMAOMB制定NIST[FIPS[SPCUI[32CFR2002]隨[FISMA[FIPS200][SPCUINIST出版物[FIPS[SP800?53CUICUIPP2CUI安全要求本出版物中包含的建議安全要求僅適用于第七頁PP2第八頁第八頁改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架[NIST[SP[ISO27001]NIST或ISO/IEC其他資源將安全控制映射到網(wǎng)絡(luò)安全框架：/publications/detail/nistir/8170/draft。將CUI安全要求映射到網(wǎng)絡(luò)安全框架：/projects/cybersecurity?framework/informative?reference?catalog/details/1。PP2頁面頁面PAGE\*romanx目錄介. 1性. 2眾. 4織. 4識. 5設(shè). 5定. 6求. 9制. 10訓(xùn). 16責. 17理. 20證. 23應(yīng). 263.7護. 27護. 29全. 31護. 32估. 33估. 34護. 36性. 40錄A獻 錄表. 51錄語. 60錄表 61錄準. 84勘誤表此表包含已納入特別出版物800?171中的更改?？闭`更新可以包括出版物中的編輯性或?qū)嵸|(zhì)性的更正、澄清或其他細微更改。期 型 變 頁日 日

FrontMatter框“求為 七“安全要求適用”11I件?！?21.1節(jié)第2CUICUI圍。日 日

（如子 2CUI1.13是”3日

16ICUI（CUI地為CUI4PP2第一章第第一章第4頁第一章介紹保護受控非機密信息的必要性今天，聯(lián)邦政府比歷史上任何時候都更加依賴外部力量時間服務(wù)提供商幫助執(zhí)行廣泛的聯(lián)邦任務(wù)和業(yè)務(wù)職能

1許多聯(lián)邦承包商處理、存儲和傳輸）至關(guān)重要，并且可以直接影響聯(lián)邦政府執(zhí)行其指定任務(wù)和業(yè)務(wù)運營的能力。(CUI)3制定計劃以標準化行政部門處理需要保護的非機密信息的方式。4僅需要的信息CUICUICUI[NARACUICUICUI（CUICUICUICUI括但不限于標記、保護、運輸、傳播、再使用和處置信息。/統(tǒng)CUI3受控非機密信息是指法律、法規(guī)或政府政策要求保護或傳播控制的任何信息，不包括根據(jù)[EO13526]或任何先前或后續(xù)命令或經(jīng)修訂的[ATOM54]分類的信息。4[EO13556]指定國家檔案和記錄管理局(NARA)作為實施CUI計劃的執(zhí)行機構(gòu)。[EO13556]還要求CUI計劃強調(diào)政府范圍內(nèi)做法的公開性、透明度和統(tǒng)一性，并且該計劃的實施方式應(yīng)符(OMB(NIST邦5由CUI執(zhí)行官制定CUII)當I(27(3CUICUICUI8CUII（CUI的安全性，并避免將組織的安全狀況提高到超出保護其任務(wù)、運營和資產(chǎn)所需的水平。5[32CFR2002]于2016年9月14日發(fā)布，并于2016年11月14日生效。求Br0求（）需求的表達。所有這些要求在應(yīng)用于系統(tǒng)時，有助于確定系統(tǒng)所需的特性。[FISMA[FIPS200[FIPS[SP800?53]（參見[44USC3554](a)(1)(A)）。[44USC3554。CUI指南和I)0I根據(jù)聯(lián)邦CUI法規(guī)，使用聯(lián)邦系統(tǒng)處理、存儲或傳輸CUI的聯(lián)邦機構(gòu)至少必須遵守：)（密）； 12)TTCUICUICUII（）T第二章中描述的定制標準無意減少或最小化聯(lián)邦CUI法規(guī)中表達的保護CUI的聯(lián)邦要求。相反，其目的是以允許并促進CUI保護級別CUICUINARACUIFAR聯(lián)邦CUI法規(guī)和NIST800?171FARNIST[SPCUI[FIPS（）（）。CUIBasic14(NARACUICUIFARCUICUICUI（）I施用于多個政府合同或協(xié)議政策。本出版物為公共和私營部門的各種個人和組織提供服務(wù)，包括但不限于具有以下特征的個人：（）；（）；（）（）。本特別出版物的其余部分組織如下：保護CUI機密性的安全要求；要求的格式和結(jié)構(gòu)；以及應(yīng)用于NIST標準和指南以獲得要求的定制標準。CUICUI[SPO14CUIBasic在CUI注冊表[NARACUI]中定義。PP2第二章第第二章第8頁第二章基本原理制定安全要求的假設(shè)和方法該章描述了用于開發(fā)的假設(shè)和方法時間建議的安全要求，以保護非聯(lián)邦系統(tǒng)中的CUI和組織；基本和派生安全要求的結(jié)構(gòu)；和適用于聯(lián)邦信息安全要求和控制的定制標準。本出版物中描述的建議安全要求是基于三個基本假設(shè)制定的：（CUICUI?CUI的機密性影響值不低于[FIPS199]中等。

1516這些假設(shè)強化了這樣的概念：指定為CUI的聯(lián)邦信息具有相同的特征。CUICUI（[FIPS[FIPS[SP[32CFR2002]CUI但是，當建立CUI控制的聯(lián)邦法律、法規(guī)或政府政策指定與中等保密基線不同的控制時，將遵循這些控制。為CUI實施單一國家安全解決方案CUI在非聯(lián)邦系統(tǒng)和組織中保護CUI機密性的安全要求具有明確定義的結(jié)構(gòu)，由基本安全要求部分組成S[SP800?53從（I）（）；CUI附錄CUICUI

基本安全要求和派生安全要求的結(jié)合體現(xiàn)了[FIPS[SPCUI[SP[ISO27001CUI[FIPS[SP信息安全計劃的安全策略、程序和實踐。鼓勵非聯(lián)邦組織參考附錄E和[SP800?53]，以獲取被視為超出第三章安全要求范圍的適度基線中的安全控制的完整列表。CUI（CUI數(shù)字的。CUICUI衍生的安全要求CUICUI控制區(qū)域之外。CUI運輸過程中的介質(zhì)，除非另有其他物理防護措施的保護。CUI200由于定制標準，要求不包含在本出版物的范圍內(nèi)。18表1列出了本出版物中涉及的安全要求系列。表家庭家庭訪問控制媒體保護意識和培訓(xùn)人員安全事件響應(yīng)維護系統(tǒng)和通訊保護系統(tǒng)和信息完整性（（（每個CUI[SP800?53]CUI非詳盡無遺，并且不反映組織可用的潛在選項。圖1說明了基本安全要求3.8.3及其支持討論部分和信息參考。3.8.3

在處置或釋放以供重復(fù)使用之前，對包含CUI的系統(tǒng)介質(zhì)進行消毒或銷毀。（）（NARA[SP800?88]提供有關(guān)介質(zhì)清理的指南。圖1：CUI安全要求的格式和結(jié)構(gòu)PP2第PAGE第30頁第三章保護CUI機密性的安全要求該章描述了14個建議的安全要求系列時間保護非聯(lián)邦系統(tǒng)和組織中CUI的機密性。[SP20NIST

19這（[ISO）21討論部分CUI施任何計劃的緩解措施。組織可以以任何選定的格式將系統(tǒng)安全計劃和行動計劃記錄為單獨或組合的文件。22CUI20附錄D中的安全控制參考是為了促進更好地理解建議的安全要求，而不是擴大要求的范圍。[ISO[SP800?53]。

[NISTCUI]提供特別出版物800?171的補充材料，包括系統(tǒng)安全模板（是否建議與非聯(lián)邦組織簽訂協(xié)議或合同。CUI（例業(yè)）（2.2組織系統(tǒng)的含義CUICUICUICUI基本安全要求設(shè)備（包括其他系統(tǒng)）。討論（（（（例3.1.2討論（（）。衍生的安全要求討論（）Web代理服務(wù)器的Internet請求（（（）。（在代表具有不同安全策略的不同安全域的系統(tǒng)之間傳輸信息會帶來這樣的傳輸違反一個或多個域安全策略的風(fēng)險。（）（）賬戶。討論（）。（討論（審計日志中的此類功能。討論3.1.2討論無論登錄是通過本地連接還是網(wǎng)絡(luò)連接進行，此要求均適用。由于存在拒絕服務(wù)的可能性，在大多數(shù)情況下，系統(tǒng)發(fā)起的自動鎖定是暫時的，并會在系統(tǒng)建立的預(yù)定期限后自動解除。（）CUI討論各組織咨詢總法律顧問辦公室，以進行警告橫幅內(nèi)容的法律審查和批準。討論（）（討論（（訪（）。（（討論（（(VPNVPNVPN（VPN（）。[SP800?46]、[SP800?77]和[SP800?113]提供有關(guān)安全遠程訪問和虛擬專用網(wǎng)絡(luò)的指南。討論加密標準包括FIPS驗證的加密和NSA批準的加密。T密]；T；T討論CUI討論（討論建立無線訪問系統(tǒng)的使用限制和配置/連接要求為組織提供支持無線訪問授權(quán)決策的標準。這些限制和要求降低了通過無線技術(shù)未經(jīng)授權(quán)訪問系統(tǒng)的可能性。無線網(wǎng)絡(luò)使用提供憑據(jù)保護和相互身份驗證的身份驗證協(xié)議。[SP討論組織對個人和設(shè)備進行身份驗證，以幫助保護對系統(tǒng)的無線訪問。特別關(guān)注作為物聯(lián)網(wǎng)一部分的各種設(shè)備，這些設(shè)備具有對組織系統(tǒng)的潛在無線訪問能力。請參閱[NIST加密]。討論（）（）（（）CUI[SP800?124]提供有關(guān)移動設(shè)備安全的指南。的CUI。 23討論CUI的機密性[NIST討論（）。23移動設(shè)備和計算平臺包括智能手機和平板電腦等。如果無法與外部系統(tǒng)所有者建立條款和條件，組織可能會對使用這些外部系統(tǒng)的組織人員施加限制。（部CUICUICUICUICUI部”。討論在外部系統(tǒng)中使用組織控制的便攜式存儲設(shè)備的限制包括CUI保護CUICUICUI部”。CUI。討論（CUI）指定有權(quán)將CUI發(fā)布到公共訪問系統(tǒng)的個人。信息內(nèi)容在發(fā)布到公共訪問系統(tǒng)之前會經(jīng)過審查，以確保不包含非公開信息。基本安全要求討論事件。[SP800?50]提供有關(guān)安全意識和培訓(xùn)計劃的指導(dǎo)。討論[SP800?181]提供有關(guān)工作場所基于角色的信息安全培訓(xùn)的指南。[SP800?161]提供供應(yīng)鏈風(fēng)險管理指南。衍生的安全要求威脅。討論（例如，對經(jīng)理的培訓(xùn)可能側(cè)重于團隊成員行為的具體變化，而對員工的培訓(xùn)可能側(cè)重于更一般的觀察）?；景踩蟊O(jiān)視、分析、調(diào)查和報告非法或未經(jīng)授權(quán)的系統(tǒng)活動。討論CUI（（）。[SP800?92]提供安全日志管理指南。討論(VoIP衍生的安全要求討論討論（）（討論討論(UTC)表示(GMTUTC（[IETF5905]。刪除。討論（）該要求規(guī)定在審計相關(guān)權(quán)限和其他權(quán)限之間進一步定義特權(quán)訪問，從而限制具有審計相關(guān)權(quán)限的用戶。基本安全要求（）。（）構(gòu)。（例[SP800?128]提供有關(guān)以安全為中心的配置管理的指南。討論配置設(shè)置是可以在系統(tǒng)的硬件、軟件或固件組件中更改的一組參數(shù)，這些參數(shù)會影響系統(tǒng)的安全狀況或功能。（）（器）、操作系統(tǒng)、中間件和應(yīng)用程序。（[SP800?70]和[SP800?128]提供有關(guān)安全配置設(shè)置的指南。衍生的安全要求/（[SP800?128]提供有關(guān)配置更改控制的指南。討論（[SP800?128]提供有關(guān)配置更改控制和安全影響分析的指南。討論（改（）[SP800?128]提供有關(guān)配置更改控制的指南。討論（討論（藍牙、文件傳輸協(xié)議(FTP)和對等網(wǎng)絡(luò)是組織考慮阻止使用、限制或禁用的協(xié)議示例。（（討論[SP800?167]提供有關(guān)應(yīng)用程序白名單的指南。討論基本安全要求討論(MAC)(IP[SP800?63?3]提供有關(guān)數(shù)字身份的指導(dǎo)。（討論（[SP800?63?3]提供有關(guān)數(shù)字身份的指南。衍生的安全要求

2425（碼（）（）（時（（（）。4（碼（）（例）(PIV(CAC（（（（（[SP800?63?3]提供有關(guān)數(shù)字身份的指導(dǎo)。[SP800?63?3]提供有關(guān)數(shù)字身份的指南。討論（3.5.1）討論創(chuàng)建的。討論討論密碼有效期限制不適用于臨時密碼。討論系統(tǒng)登錄后立即將臨時密碼更改為永久密碼可確保盡早實施身份驗證機制的必要強度，從而降低身份驗證器受到損害的可能性。討論受加密保護的密碼使用密碼的加鹽單向加密哈希。請參閱[NIST加密]。討論（基本安全要求討論組織認識到事件處理能力取決于組織系統(tǒng)的能力以及這些系統(tǒng)支持的任務(wù)/業(yè)務(wù)流程。//[SP800?61]提供事件處理指南。[SP800?86]和[SP800?101]提供了將取證技術(shù)整合到事件響應(yīng)中的指導(dǎo)。[SP800?161]提供供應(yīng)鏈風(fēng)險管理指南。討論[SP800?61]提供事件處理指南。衍生的安全要求討論（（）[SP800?84]提供了有關(guān)信息技術(shù)能力測試計劃的指南?；景踩?6討論（討論CUI26一般來說，系統(tǒng)維護要求傾向于支持可用性的安全目標。然而，系統(tǒng)維護不當或未能執(zhí)行維護可能會導(dǎo)致未經(jīng)授權(quán)的CUI泄露，從而損害該信息的機密性。衍生的安全要求CUI。討論（（）。[SP800?88]提供有關(guān)介質(zhì)清理的指南。用于組織系統(tǒng)。討論如果在檢查包含維護診斷和測試程序的介質(zhì)后，組織確定該介質(zhì)包含惡意代碼，則將根據(jù)事件處理策略和程序來處理該事件。網(wǎng)絡(luò)連接，并在非本地維護完成時終止此類連接。討論3.5.3討論（臨時憑證可以一次性使用，也可以在非常有限的時間內(nèi)使用。基本安全要求（CUI和數(shù)字。討論CUI的訪問[SP800?111]提供有關(guān)最終用戶設(shè)備存儲加密技術(shù)的指南。CUI討論CUI討論（）（組織確定適當?shù)南痉椒?，認識到當其他方法無法應(yīng)用于需要消毒的介質(zhì)時，可能需要銷毀。NARA[SP800?88]提供有關(guān)介質(zhì)清理的指南。衍生的安全要求CUI27[奈CUI討論受控區(qū)域是組織提供物理或程序控制以滿足為保護系統(tǒng)和信息而建立的要求的區(qū)域或空間?？刂茷榱嗽谶\輸過程中保持對媒體的責任，包括鎖定容器和加密技術(shù)。CUI運輸過程中的介質(zhì)，除非另有其他物理防護措施的保護。討論（B）[SP800?111]提供有關(guān)最終用戶設(shè)備存儲加密技術(shù)的指南。討論（2RA])（”x和F（”xIBvFN。FN基于設(shè)備類型的存儲設(shè)備，禁止使用可寫的便攜式設(shè)備，并通過禁用或刪除寫入此類設(shè)備的功能來實現(xiàn)此限制。討論（（CUI討論基本安全要求CUI（CUI（度活動反映了適用的聯(lián)邦法律、行政命令、指令、政策、法規(guī)以及為指定職位所需的訪問級別制定的具體標準。CUI終止和轉(zhuǎn)移等行動。討論CUI（無CUI（）衍生的安全要求沒有任何。基本安全要求討論討論支持基礎(chǔ)設(shè)施的物理訪問控制包括上鎖的配線間；備用插孔斷開或鎖定；通過導(dǎo)管或電纜橋架保護電纜；和竊聽傳感器。衍生的安全要求討論討論（）（（討論物理訪問設(shè)備包括鑰匙、鎖、密碼和讀卡器。CUI討論替代工作地點可能包括政府設(shè)施或員工的私人住宅。[SP800?46]和[SP800?114]提供有關(guān)遠程辦公時企業(yè)和用戶安全的指南?；景踩螅曌u）、組織資產(chǎn)和個人，由組織系統(tǒng)的運行以及CUI的相關(guān)處理、存儲或傳輸產(chǎn)生。討論（[SP800?30]提供了進行風(fēng)險評估的指導(dǎo)。衍生的安全要求討論（(SCAP(CVE(OVAL(CWE（(CVSS[SP800?40]提供漏洞管理指南。3.11.3根據(jù)風(fēng)險評估修復(fù)漏洞。討論3.11.2基本安全要求討論[SP800?53]提供有關(guān)系統(tǒng)和組織的安全和隱私控制的指南。[SP800?53A]提供有關(guān)制定安全評估計劃和進行評估的指導(dǎo)。討論輸T1討論通過報告或儀表板持續(xù)訪問安全信息，使組織官員能夠做出有效且及時的風(fēng)險管理決策。監(jiān)測要求，包括特定監(jiān)測的需要，也可以在其他要求中引用。[SP800?137]提供了持續(xù)監(jiān)測的指導(dǎo)。邊界、系統(tǒng)運行環(huán)境、安全要求如何實現(xiàn)以及與其他系統(tǒng)的關(guān)系或連接。28討論28系統(tǒng)安全計劃沒有規(guī)定的格式或規(guī)定的詳細程度。然而，組織確保在這些計劃中傳達3.12.4中所需的信息。（）（），建立的管理/運營領(lǐng)域中維護與安全相關(guān)的信息。輸[SP[NIST800?171衍生的安全要求沒有任何?；景踩螅ǎ?。討論（）WebWeb[SP800?41]提供有關(guān)防火墻和防火墻策略的指導(dǎo)。[SP800?125B]提供虛擬化技術(shù)安全指南。組織將系統(tǒng)安全工程原理應(yīng)用于新開發(fā)的系統(tǒng)或正在進行重大升級的系統(tǒng)。對于遺留系統(tǒng)，組織應(yīng)用系統(tǒng)安全性脅建模來識別用例、威脅代理、攻擊向量和模式、設(shè)計模式以及降低風(fēng)險所需的補償控制。[SP800?160?1]提供系統(tǒng)安全工程指南。衍生的安全要求討論（）Web管理討論（（（（）邏輯上與內(nèi)部網(wǎng)絡(luò)分離。討論(DMZ)。DMZ[SP800?41]提供有關(guān)防火墻和防火墻策略的指導(dǎo)。[SP800?125B]提供虛擬化技術(shù)安全指南。例外（即拒絕所有、例外允許）。討論組織系統(tǒng)并通過其他連接與外部網(wǎng)絡(luò)中的資源進行通信（即分割隧道）。討論（（（）CUI討論（（PDS）會話或一段指定的不活動時間后。討論此要求適用于內(nèi)部和外部網(wǎng)絡(luò)。終止與通信會話關(guān)聯(lián)的網(wǎng)絡(luò)連接包括取消分配關(guān)聯(lián)的TCP/IP地址或端口系統(tǒng)。討論[SP800?56A]和[SP800?57?1]提供有關(guān)加密密鑰管理和密鑰建立的指導(dǎo)。CUIFIPS討論FIPS或NSA批準T密]；TT29討論協(xié)作計算設(shè)備包括聯(lián)網(wǎng)白板、攝像頭和麥克風(fēng)。使用指示包括當協(xié)作計算設(shè)備被激活時向用戶發(fā)出的信號。專用視頻會議系統(tǒng)不包括在內(nèi)，該系統(tǒng)依靠參與者之一呼叫或連接到另一方來激活視頻會議。討論JavaJavaScriptActiveXPostscriptPDFFlash動畫和VBScript（29不包括依賴參與者之一呼叫或連接另一方來激活視頻會議的專用視頻會議系統(tǒng)。[SP800?28]提供有關(guān)移動代碼的指南。（VoIP（P(ISDN(FDDI)。POTS和非POTSVoIPVoIPVoIP面臨的威脅與任何基于互聯(lián)網(wǎng)的應(yīng)用程序固有的威脅類似。[SP800?58]提供有關(guān)IP語音系統(tǒng)的指南。討論（）[SP800?77]、[SP800?95]和[SP800?113]提供有關(guān)安全通信會話的指南。CUI討論[NIST基本安全要求討論點”枚舉(CWE)數(shù)據(jù)庫或常見漏洞和暴露(CVE)數(shù)據(jù)庫用于修復(fù)組織系統(tǒng)中發(fā)現(xiàn)的缺陷。（）[SP800?40]提供有關(guān)補丁管理技術(shù)的指南。討論Web（/[SP800?83]提供有關(guān)惡意軟件事件預(yù)防的指南。(CISA織的態(tài)勢感知。軟件供應(yīng)商、訂閱服務(wù)和（ISAC務(wù)[SP衍生的安全要求討論/討論（討論（（（）系統(tǒng)監(jiān)控是持續(xù)監(jiān)控和事件響應(yīng)計劃的組成部分。（（系統(tǒng)或系統(tǒng)組件。系統(tǒng)監(jiān)控要求，包括對特定類型系統(tǒng)監(jiān)控的需求，可以在其他需求中引用。[SP800?94]提供有關(guān)入侵檢測和預(yù)防系統(tǒng)的指南。（）響應(yīng)計劃。[SP800?94]提供有關(guān)入侵檢測和預(yù)防系統(tǒng)的指南。PP2附錄A第附錄A第44頁A法律、行政命令、法規(guī)、指令、標準和指南30法律和行政命令[原子54]

L4年8月。/app/details/STATUTE?68/STATUTE?68?Pg919

5C§10.6/app/details/PLAW?104publ231] L4年2月。/app/details/PLAW?113publ2830C]022017III?chap113?subchapIII?sec113314C]427/app/details/USCODE?2017?title44/USCODE?2017?title44?第35章?子章?sec35024C]427/app/details/USCODE?2017?title44/USCODE?2017?title44?chap35?subchapII?sec3552[44USC3554]美國法典第44章，第2節(jié)第3554章，聯(lián)邦機構(gòu)的責任。2017年編輯。/app/details/USCODE?2017?title44/USCODE?2017?title44?chap35?subchapII?sec3554] 令6)息。（宮區(qū)）DCPD?2009010229年2月9日。/app/details/DCPD?200901022] 令6)息。（宮區(qū)）DCPD?2010009420年1月4日。/app/details/DCPD?201000942政策、法規(guī)、指令和指示[322002

32CFRPart2002，受控非機密信息，2016年9月。/app/details/CFR?2017?title32?vol6/CFR?2017?title32?2002年第6卷/摘要30本節(jié)中沒有具體出版日期或修訂號的參考文獻假定指的是這些出版物的最新更新。[OMB

)（）6年7月。[CNSSI

/sites//files/omb/circulars/A130/a130修訂版.pdf國家安全系統(tǒng)委員會(2015)國家安全系統(tǒng)委員會(CNSS)術(shù)語表。（國家安全局，喬治堡））S/CNSS/issuances/Instructions.cfm標準、指南和報告O] 織（2013（）C[FIPS

/standard/54534.html美國國家標準與技術(shù)研究所(2004)聯(lián)邦信息和信息系統(tǒng)安全分類標準。（）)[FIPS

/10.6028/NIST.FIPS.199美國國家標準與技術(shù)研究院(2006)聯(lián)邦信息和信息系統(tǒng)的最低安全要求。（我們）)[SP

/10.6028/NIST.FIPS.200SwansonMAHashJBowenP(2006（T)/10.6028/NIST.SP.800?18r1[SP800?28] JansenWWinogradTScarfoneKA(2008（）T)2版。[SP

/10.6028/NIST.SP.800?28ver2(2012（T)/10.6028/NIST.SP.800?30r1[SP800?39] (2011（）T)[SP

/10.6028/NIST.SP.800?39aMPeA)（）T)[SP

/10.6028/NIST.SP.800?40r3ScarfoneKAHoffmanP(2009（）T)[SP

/10.6028/NIST.SP.800?41r1aMPeA))（）T[SP

/10.6028/NIST.SP.800?46r2WilsonM,HashJ(2003（）T)[SP

/10.6028/NIST.SP.800?50(2013（）T)122[SP800?53A]

/10.6028/NIST.SP.800?53r4聯(lián)合工作組轉(zhuǎn)型計劃(2014)評估聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制：制定有效的評估（）T)[SP

4、包括截至2014年12月18日的更新。/10.6028/NIST.SP.800?53Ar4（T)[SP800?56A]

[即將推出]。BarkerEBChenLRoginskyAVassilevADavisR(2018（）T)/10.6028/NIST.SP.800?56Ar3[SP800?57?1][SP800?58]

BarkerEB(2016)密鑰管理建議，第1部分：概述。（）T)7第14。/10.6028/NIST.SP.800?57pt1r4KuhnRWalshTJFriesS(2005IP（）T)[SP800?60?1]

/10.6028/NIST.SP.800?58StineKMKisselRLBarkerWCFahlsingJGulickJ(2008（）T)[SP800?60?2]

/10.6028/NIST.SP.800?60v1r1StineKMKisselRLBarkerWCLeeAFahlsingJ(2008（）T)[SP800?61][SP800?63?3][SP800?70]

/10.6028/NIST.SP.800?60v2r1CichonskiPRMillarTGranceTScarfoneKA(2012（國）T)/10.6028/NIST.SP.800?61r2GrassiPAGarciaMEFentonJL(2017（）T)7年2月1/10.6028/NIST.SP.800?63?3QuinnSDSouppayaMPCookMRScarfoneKA(2018IT（）T)[SP[SP

/10.6028/NIST.SP.800?70r4FrankelSEKentKLewkowskiROrebaughADRitcheyRWSharmaSR(2005)cN（）T(SP800?77。/10.6028/NIST.SP.800?77SouppayaMPScarfoneKA(2013（）T)/10.6028/NIST.SP.800?83r1[SP

GranceTNolanTBurkeKDudleyRWhiteGGoodT(2006IT（）T(SP)800?84。[SP

/10.6028/NIST.SP.800?84KentKChevalierSGranceTDangH(2006（美）T)[SP

/10.6028/NIST.SP.800?86KisselRLRegenscheidARSchollMAStineKM(2014（）T)/10.6028/NIST.SP.800?88r1P] taMP)（）T)[SP

/10.6028/NIST.SP.800?92ScarfoneKAMellPM(2007(IDPS（）T)[SP

/10.6028/NIST.SP.800?94SinghalAWinogradTScarfoneKA(2007Web（）T)[SP

/10.6028/NIST.SP.800?95ltseA)Ei（）T)[SP[SP

/10.6028/NIST.SP.800?97AyersRPBrothersSJansenW(2014（）T)/10.6028/NIST.SP.800?101r1ScarfoneKASouppayaMPSextonM(2007（）T)[SP

/10.6028/NIST.SP.800?111FrankelSEHoffmanPOrebaughADParkR(2008SSLVPN（）T)/10.6028/NIST.SP.800?113[SP

aMPeA))（）T)[SP

/10.6028/NIST.SP.800?114r1aMPeA)（）T特)/10.6028/NIST.SP.800?124r1[SP800?125B]ChandramouliR(2016)虛擬機的安全虛擬網(wǎng)絡(luò)配置)（）T800?125B。/10.6028/NIST.SP.800?125B[SP

JohnsonLADempseyKLRossRSGuptaSBaileyD(2011（）T)[SP

/10.6028/NIST.SP.800?128DempseyKLChawlaNSJohnsonLAJohnstonRJonesACOrebaughADSchollMA、StineKM(2011(ISCM)（）T)/10.6028/NIST.SP.800?137[SP800?160?1RossRSOrenJCMcEvilleyM(2016（），T)[SP

8年3月1/10.6028/NIST.SP.800?160v1BoyensJMPaulsenCMoorthyRBartolN(2015（）T)[SP

/10.6028/NIST.SP.800?161SedgewickASouppayaMPScarfoneKA(2015（）T)/10.6028/NIST.SP.800?167[SP800?171ARossRSDempseyKLPillitteriVY(2018（）T800?171A。/10.6028/NIST.SP.800?171A[SP

NewhouseWDWitteGAScribnerBKeithS(2017(NICE（）T)/10.6028/NIST.SP.800?181其他出版物和網(wǎng)站[IETF

MillsDMartin（）khW)（）F)/10.17487/RFC5905[崔] 局息(CUI)處。/cui[NARAMARK]國家檔案和記錄管理局(2016)標記受控非機密信息，版本1.1。（國家檔案館，華盛頓特區(qū)）。/files/cui/20161206?cui?marking?handbook?v1?1.pdfI[NIST

/files/cui/documents/20190222?cui?notice?2019?01?封面標簽.pdf美國國家標準與技術(shù)研究所(2019)密碼算法驗證計劃。[NIST

/projects/cavp（2019/projects/cmvp[NISTCRYPTO]美國國家標準與技術(shù)研究院(2019)密碼標準和指南。/projects/cryptography?standards?and?guidelines崔]

(20181.1。（）。/10.6028/NIST.CSWP.04162018美國國家標準與技術(shù)研究所(2019)特別出版物800?171出版物和支持資源。/publications/detail/sp/800?171/rev?1/finalPP2附錄B附錄BPAGE51頁附錄B詞匯表常用術(shù)語和定義A附錄B提供了特別出版物中使用的安全術(shù)語的定義A800?171。除非本術(shù)語表中明確定義，否則本出版物中使用的所有術(shù)語均與[CNSSI4009]國家信息保障術(shù)語表中包含的定義一致。機構(gòu)[OMBA?130]

評估評估員

請參閱安全控制評估。請參閱安全控制評估員。按時間順序排列的系統(tǒng)活動記錄，包括給定時間段內(nèi)執(zhí)行的系統(tǒng)訪問和操作的記錄。審計記錄驗證S編]

審核日志中與審核事件相關(guān)的單個條目。驗證用戶、進程或設(shè)備的身份，通常作為允許訪問系統(tǒng)中的資源的先決條件。性 時息。[44南加州大學(xué)3552]高級持續(xù)威脅[SP800?39]

（IT動水平執(zhí)行其目標。

保密[443552]配置管理配置設(shè)置控制區(qū)受控非機密信息[行政命令13556]崔類別[322002崔執(zhí)行代理[322002崔程序[322002兩方同時互相驗證。也稱為相互身份驗證或雙向身份驗證。用于識別未經(jīng)授權(quán)在系統(tǒng)上執(zhí)行的軟件程序或禁止的統(tǒng)一資源定位器(URL)/網(wǎng)站的過程。保留對信息訪問和披露的授權(quán)限制，包括保護個人隱私和專有信息的手段。1229135261954年，法律、法規(guī)或政府范圍內(nèi)的政策要求或允許各機構(gòu)實施保護或傳CUICUII13556NARA息安全監(jiān)督辦公室(ISOO)主任。CUI1355632CFRPart2002CUI處制定的CUI規(guī)則、組織和程序。CUI注冊表[32CUI注冊表[322002雙重授權(quán)I編]執(zhí)行機構(gòu)[OMBA?130]（）聯(lián)邦信息系統(tǒng)[40USC11331]CUICUI2Rt2I類別通過集成物理和邏輯設(shè)計功能的交互數(shù)字、模擬、物理和人體組件。該存儲和處理系統(tǒng)旨在通過要求至少兩個授權(quán)人員在場并采取行動來禁止個5USCSec1015USCSec1025USCc1C第章的規(guī)定。在組織系統(tǒng)的授權(quán)邊界之外實現(xiàn)的系統(tǒng)服務(wù)（即由組織系統(tǒng)使用但不）通過各種消費者?生產(chǎn)者關(guān)系向組織提供外部系統(tǒng)服務(wù)的提供商，包括：（）和不受組織控制的網(wǎng)絡(luò)。參見執(zhí)行機構(gòu)。由執(zhí)行機構(gòu)、執(zhí)行機構(gòu)的承包商或代表執(zhí)行機構(gòu)的其他組織使用或操作的信息系統(tǒng)。經(jīng)過FIPS驗證密碼學(xué)

(CMVPFIPS出版物CMVP(CAVPNSA固件[CNSSI4009]

（ROM（PROM中硬件[CNSSI4009]標識符

系統(tǒng)的物質(zhì)物理組件。請參閱軟件和固件。用于表示一個人的身份和相關(guān)屬性的唯一數(shù)據(jù)。姓名或卡號是標識符的示例。系統(tǒng)用來指示特定實體、對象或組的唯一標簽。響 言性營產(chǎn)人他（益響言份信息時個人可能會經(jīng)歷的不利影響。影響值[FIPS199]

事件[443552]

信息[OMBA?130]

（信息資源[44南加州大學(xué)3502]

不違反安全政策。信息及相關(guān)資源，如人員、設(shè)備、資金、信息技術(shù)等。信息安全[44信息安全[443552]信息系統(tǒng)[443502]信息技術(shù)[OMBA?130]正直[443552]在提供服務(wù)或提供產(chǎn)品中的使用。信息技術(shù)包括計算機、輔助設(shè)備（包括）（使用。威脅內(nèi)部人員將有意或無意地利用其授權(quán)訪問權(quán)限危害美國的安全。這種威脅可能防止信息被不當修改或破壞，包括確保信息的不可否認性和真實性。（）本地訪問本地訪問媒體[FIPS200]手機代碼相互認證[CNSSI4009]非聯(lián)邦組織非聯(lián)邦制網(wǎng)絡(luò)設(shè)計安全架構(gòu)的原則是，向每個實體授予該實體執(zhí)行其功能所需的最低系統(tǒng)授權(quán)和資源。（(LSI（（）動電子閱讀器。（）（）（）參與交易的兩個實體相互驗證的過程。請參閱雙向身份驗證。擁有、運營或維護非聯(lián)邦系統(tǒng)的實體。不符合聯(lián)邦系統(tǒng)標準的系統(tǒng)。異地維護異地維護代表（）[32美國聯(lián)邦法規(guī)2002年]組織S編]人員安全[SP800?53]潛在影響[FIPS199]記錄遠程訪問（（（（(i(ii組織結(jié)構(gòu)中任何規(guī)模、復(fù)雜性或定位的實體。（）（）。（FIPSPublication199low）（FIPS199）；（FIPS出版物199高）。具有特權(quán)用戶授權(quán)的系統(tǒng)帳戶。（（（或）（即，）。（（重播阻力重播阻力風(fēng)險[OMBA?130]風(fēng)險評估[SP800?30]消毒安全[CNSSI4009][OMBA?130]安全控制評估[OMBA?130]安全域I編]安全功能（(i(ii發(fā)生。（）為使寫入在介質(zhì)上的數(shù)據(jù)無法通過普通和某些形式的清理、非常規(guī)恢復(fù)而采取的操作方法。由于建立和維護保護措施而導(dǎo)致的情況，這些措施使組織能夠執(zhí)行其任請參閱安全控制評估。實施安全策略并由單一機構(gòu)管理的域。分裂隧道系統(tǒng)分裂隧道系統(tǒng)系統(tǒng)組件[SP800?128]系統(tǒng)服務(wù)威脅[SP800?30]無線技術(shù)外部網(wǎng)絡(luò)。這種網(wǎng)絡(luò)訪問方法使用戶能夠在訪問不受控制的網(wǎng)絡(luò)的同時訪問遠程設(shè)備（例如網(wǎng)絡(luò)打印機）。參見信息系統(tǒng)。描述組織如何滿足系統(tǒng)安全要求或組織計劃如何滿足要求的文檔。特別是，系統(tǒng)系統(tǒng)提供的促進信息的能力處理、存儲或傳輸。（用于識別被授權(quán)在系統(tǒng)或授權(quán)的統(tǒng)一資源定位器(URL)/網(wǎng)站上執(zhí)行的軟件程序的過程。（）802.11xPP2附錄C第附錄C第60頁縮寫詞常用縮寫病死率崔FISMA物聯(lián)網(wǎng)ISOO它奈良SP網(wǎng)絡(luò)電話

聯(lián)邦法規(guī)國家安全系統(tǒng)委員會受控非機密信息聯(lián)邦采購法規(guī)聯(lián)邦信息處理標準聯(lián)邦信息安全現(xiàn)代化法案物聯(lián)網(wǎng)互聯(lián)網(wǎng)協(xié)議國際標準化組織/國際電工技術(shù)組織委員會信息安全監(jiān)察室信息技術(shù)信息技術(shù)實驗室美國國家標準技術(shù)研究院管理和預(yù)算辦公室特別刊物互聯(lián)網(wǎng)協(xié)議語音PP2附錄D附錄DPAGE71頁附錄D映射表將基本和派生的安全要求映射到安全控制D?1到D?14提供了基本和派生安全要求的映射[SPCUI[ISO27001星號(*)表示ISO/IEC控制不完全滿足NISTNISTCUI[NIST[SP[ISONIST或ISO/IEC表D?1到D?14TPT5表D?1：將訪問控制要求映射到控制安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制交流?2帳戶管理交流?2帳戶管理A.9.2.1A.9.2.2用戶注冊和注銷用戶訪問A.9.2.3供應(yīng)A.9.2.5用戶評價A.9.2.6調(diào)整訪問權(quán)限AC?3訪問執(zhí)行A.6.2.2A.9.1.2遠程辦公訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)A.9.4.1信息獲取限制A.9.4.4使用特權(quán)實用程序A.9.4.5訪問控制程序源代碼（執(zhí)行。A.13.1.1網(wǎng)絡(luò)控制A.14.1.2保護公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.1.3

保護應(yīng)用程序服務(wù)事務(wù)AC?17

A.18.1.3

A.13.1.1網(wǎng)絡(luò)控制A.13.2.1 A.14.1.2保護公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)衍生的安全要求3.1.3控制CUI的流程

交流?4

信息流執(zhí)行

A.13.1.3網(wǎng)絡(luò)中的隔離政策與程序安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制A.14.1.2保護公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.1.3

保護應(yīng)用程序服務(wù)事務(wù)3.1.4

交流?5

職責分離

A.6.1.2

職責分離沒有共謀的惡意活動。

AC?6

最低權(quán)限

訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)特權(quán)訪問權(quán)限的管理A.9.4.4

使用特權(quán)實用程序A.9.4.5 AC?6(1)最低權(quán)限沒有直接映射。授權(quán)訪問安全性功能AC?6(5)最低權(quán)限沒有直接映射。特權(quán)賬戶3.1.6訪問非安全功能時使用非特權(quán)帳戶或角色。AC?6(2)最低權(quán)限沒有直接映射。非特權(quán)訪問非安全函數(shù)3.1.7防止非特權(quán)用戶執(zhí)行特權(quán)函數(shù)并捕獲此類函數(shù)AC?6(9)最低權(quán)限沒有直接映射。的執(zhí)行情況記錄特權(quán)的使用功能

AC?6(10)最低權(quán)限

沒有直接映射。嘗試。

登錄失敗嘗試

適用的CUI規(guī)則。

AC?11

會話鎖定

屏幕政策AC?11(1)會話鎖定

沒有直接映射。（

AC?12

會話終止

沒有直接映射。訪問會話。

AC?17(1)遠程訪問自動監(jiān)控/控制

沒有直接映射。安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制

AC?17(2)遠程訪問保密保護/

沒有直接映射。受管理的訪問控制點。

AC?17(3)遠程訪問

沒有直接映射。

AC?17(4)遠程訪問特權(quán)命令/使用權(quán)

沒有直接映射。在允許此類連接之前。

AC?18

無線接入

A.6.2.1A.13.1.1A.13.2.1

移動設(shè)備政策信息傳遞政策與程序

AC?18(1)無線接入身份驗證和加密

沒有直接映射。

AC?19

訪問控制

A.6.2.1

移動設(shè)備政策設(shè)備。

移動設(shè)備

A.11.2.6場外設(shè)備和資產(chǎn)的安全A.13.2.1 的CUI。

AC?19(5)移動設(shè)備的訪問控制/

沒有直接映射。/使用。

AC?20

外部系統(tǒng)的使用A.11.2.6場外設(shè)備和資產(chǎn)的安全A.13.1.1網(wǎng)絡(luò)控制A.13.2.1

信息傳遞政策與程序

AC?20(1)外部系統(tǒng)的使用AC?20(2)外部系統(tǒng)的使用便攜式存儲設(shè)備

沒有直接映射。沒有直接映射。

AC?22

公開訪問內(nèi)容

沒有直接映射。表D?2安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制3.2意識和培訓(xùn)基本安全要求3.2.1確保組織系統(tǒng)的管理者、系統(tǒng)管理員和用戶了解與其活動相關(guān)的安全風(fēng)險以及AT?2安全意識訓(xùn)練A.7.2.2信息安全A.12.2.1針對惡意軟件的控制

AT?3

訓(xùn)練

A.7.2.2*

信息安全意識、教育和培訓(xùn)衍生的安全要求3.2.3衍生的安全要求3.2.3提供有關(guān)識別和報告內(nèi)部威脅潛在指標的安AT?2(2)安全意識全意識培訓(xùn)。訓(xùn)練內(nèi)部威脅表D?3安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求AU?2事件記錄沒有直接映射。和記錄，以確保監(jiān)控、分析、調(diào)查和報告非法或AU?3審核內(nèi)容記錄A.12.4.1*事件記錄為 AU?3(1)容 射。系統(tǒng)活動。記錄額外審核3.3.2確保以下人員的行動信息單個系統(tǒng)用戶可以被唯一地追蹤到這些AU?6審計記錄審查，A.12.4.1事件記錄

A.16.1.2

報告信息安全事件行動。

AU?11

A.12.4.1

A.16.1.4A.12.4.3

AU?12

A.12.4.1事件記錄代

收集證據(jù)衍生的安全要求事件。

AU?2(3)AU?5

事件記錄回顧和更新對審計的回應(yīng)記錄進程失敗

沒有直接映射。沒有直接映射。

AU?6(3)

審計記錄審查，分析和報告關(guān)聯(lián)審核記錄存儲庫

沒有直接映射。

AU?7

沒有直接映射。

AU?8

時間戳

A.12.4.4

時鐘同步

AU?8(1

同步于

沒有直接映射。

AU?9

審計保護信息

A.12.4.2

日志信息保護安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制

AU?9(4)護 射。子集。信息按子集訪問特權(quán)用戶表D?4：將配置管理要求映射到控件32安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制3.4配置管理基本安全要求3.4.1在整個系統(tǒng)開發(fā)生命周期中建立并維CM?2基線配置沒有直接映射。護組織系統(tǒng)的基線配置和清單（包括硬CM?6配置設(shè)置沒有直接映射。）

CM?8

3.4.2制定和執(zhí)行

CM?8(1)系統(tǒng)組件存貨期間更新安裝/拆除

沒有直接映射。衍生的安全要求CM?3配置變更控制A.12.1.2變更管理A.14.2.2系統(tǒng)變更控制程序A.14.2.3 A.14.2.4 3.4.4在實施之前分析變更的安全影響。CM?4安全影響分析A.14.2.3 CM?5訪問限制改變A.9.2.3 A.9.4.5 程序源代碼A.12.1.2變更管理A.12.1.4

A.12.5.1 在操作系統(tǒng)上I（)T安全要求3.4.6采用最少原則能來實現(xiàn)功能。

CM?7

NISTSP800?53相關(guān)安全控制最少的功能

ISO/IEC27001相關(guān)安全控制A.12.5.1*軟件安裝在操作系統(tǒng)上

CM?7(1)最少功能定期審查CM?7(2)最少功能阻止程序執(zhí)行

沒有直接映射。沒有直接映射。（（策略來允許執(zhí)行授權(quán)軟件。

CM?7(4)最少功能未經(jīng)授權(quán)的軟件/列入黑名單CM?7(5)最少功能授權(quán)軟件/白名單

安裝的軟件。

CM?11

A.12.5.1

A.12.6.2

軟件安裝在操作系統(tǒng)上限制軟件安裝表D?5安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求設(shè)備。

IA?2

識別和驗證（組織用戶）

A.9.2.1

用戶注冊和注銷（

IA?3

設(shè)備識別和驗證

沒有直接映射。決條件。

IA?5

驗證器管理

A.9.2.1

用戶注冊和注銷A.9.2.4 用戶信息A.9.3.1 驗證信息A.9.4.3 管理系統(tǒng)衍生的安全要求3.5.3使用多因素本地和的身份驗證IA?2(1)識別和驗證沒有直接映射。特權(quán)帳戶的網(wǎng)絡(luò)訪問和非特權(quán)帳戶的網(wǎng)絡(luò)訪（組織用戶）問。網(wǎng)絡(luò)訪問特權(quán)賬戶IA?2(2)識別和沒有直接映射。驗證（組織用戶）網(wǎng)絡(luò)訪問非特權(quán)賬戶IA?2(3)識別和沒有直接映射。驗證（組織用戶）本地訪問特權(quán)賬戶3.5.4對特權(quán)和非特權(quán)帳戶的網(wǎng)絡(luò)訪問采用抗重放IA?2(8)識別和沒有直接映射。身份驗證機制。驗證（組織用戶）網(wǎng)絡(luò)訪問特權(quán)帳戶?重播抵抗的IA?2(9)識別和沒有直接映射。驗證（組織用戶）網(wǎng)絡(luò)訪問非特權(quán)帳戶?重播抵抗的NIST800?53CUI安全要求在規(guī)定的時間內(nèi)。定義的不活動期。密碼已創(chuàng)建。

IA?4IA?4

NISTSP800?53相關(guān)安全控制管理基于密碼驗證

ISO/IEC27001相關(guān)安全控制用戶注冊和注銷用戶注冊和注銷沒有直接映射。

IA?6

A.9.4.2

安全登錄程序表D?6：將事件響應(yīng)要求映射到控制措施安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求

事件響應(yīng)訓(xùn)練

A.7.2.2*

信息安全意識、教育和培訓(xùn)報

IR?4

事件處理

決定于信息安全事件告事件/該組織。

從信息安全事件中吸取教訓(xùn)IR?5

沒有直接映射。IR?6

A.6.1.3A.16.1.2

聯(lián)系方式當局報告信息安全IR?7

事件沒有直接映射。

IR?3

事件響應(yīng)測試

沒有直接映射。表D?7：將維護要求映射到控制措施安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求

MA?2

*維護

MA?3

維修工具

*沒有直接映射。衍生的安全要求

MA?3(1)維護工具檢查工具MA?3(2)維護工具檢查介質(zhì)

MA?2

*維護已清除任何CUI。代碼

MA?3(2)維護工具檢查介質(zhì)

*沒有直接映射。異地維護通過外部會話

MA?4MA?5

非本地維護無直接映射。維護人員無直接映射。表D?8：將介質(zhì)保護要求映射到控制措施34安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求（含

MP?2

媒體訪問

A.8.2.3

資產(chǎn)處理CUI

A.8.3.1可移動介質(zhì)的管理A.11.2.9CUI

MP?4

媒體存儲

A.8.2.3

資產(chǎn)處理A.8.3.1可移動介質(zhì)的管理CUI

A.11.2.9MP?6

A.8.2.3

資產(chǎn)處理A.8.3.1可移動介質(zhì)的管理A.8.3.2

介質(zhì)的處置A.11.2.7設(shè)備的安全處置或再利用衍生的安全要求3.8.4將媒體標記為CUI

MP?3

媒體標記

A.8.2.2

信息標簽

MP?5

媒體傳輸

A.8.2.3

資產(chǎn)處理遏制CUI并在控制區(qū)域外

A.8.3.1可移動介質(zhì)的管理A.8.3.3

物理媒體傳輸CUI護。

MP?5(4)

媒體傳輸加密保護

沒有直接映射。可移動媒體上

MP?7

媒體使用

A.8.2.3

資產(chǎn)處理系統(tǒng)組件。

A.8.3.1可移動介質(zhì)的管理CP?9（安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制3.8.8禁止使用MP?7(1)媒體使用沒有直接映射。便攜式存儲設(shè)備，當此類設(shè)備具有禁止使用無所有者沒有可識別的所有者。3.8.9保護CP?9系統(tǒng)備份A.12.3.1信息備份CUI

A.17.1.2實現(xiàn)信息安全連續(xù)性A.18.1.3記錄保護表D?9：將人員安全要求映射到控制措施安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制3.9人員安全基本安全要求CUIPS?3PS?4人員篩選人員終止A.7.3.1A.7.1.1篩選CUI

PS?5

人員調(diào)動

資產(chǎn)返還終止或變更雇傭責任

沒有任何。

A.8.1.4

資產(chǎn)返還表D?10：將物理保護要求映射到控制措施安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求

PE?2

物理訪問授權(quán)

A.11.1.2*物理進入控制PE?4訪問控制A.11.1.2物理進入控制PE?4訪問控制A.11.1.2物理進入控制傳輸介質(zhì)A.11.2.3布線安全PE?5訪問控制A.11.1.2物理進入控制輸出設(shè)備A.11.1.3有形設(shè)施和支持基礎(chǔ)設(shè)施組織系統(tǒng)。

PE?6

使用權(quán)

沒有直接映射。3.10.4維護物理訪問的審核日志。

PE?3

A.11.1.2

物理安全邊界物理進入控制

PE?17

點

遠程辦公場外設(shè)備和資產(chǎn)的安全信息傳輸政策和程序表D?11安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制定期評估組織系統(tǒng)和相關(guān)系統(tǒng)的運行對組（）、RA?3風(fēng)險評估A.12.6.1*管理技術(shù)漏洞組織資產(chǎn)和個人造成的風(fēng)險CUI的處理、存儲或傳輸。衍生的安全要求3.11.2掃描漏洞RA?5漏洞掃描A.12.6.1*管理定期組織系統(tǒng)和應(yīng)用程序以及出現(xiàn)新漏技術(shù)漏洞洞時序 RA?5(5) 描 射。的情況。特權(quán)訪問3.11.3修復(fù)漏洞RA?5漏洞掃描A.12.6.1*管理根據(jù)風(fēng)險技術(shù)漏洞評估。表D?12：將安全評估要求映射到控制措施安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求

CA?2

安全評估

系統(tǒng)安全測試遵守安全政策和標準應(yīng)用。

A.18.2.3

技術(shù)合規(guī)性審查減少或消除

行動計劃和里程碑

沒有直接映射。中的漏洞組織系統(tǒng)。效

PL?2

劃

信息安全協(xié)調(diào)的控制。系統(tǒng)。

沒有任何。表D?13：將系統(tǒng)和通信保護要求映射到控制35安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求（）

邊界保護

A.13.1.1網(wǎng)絡(luò)控制A.13.1.3

網(wǎng)絡(luò)中的隔離

A.13.2.1

信息傳輸政策和程序A.14.1.3

保護應(yīng)用程序服務(wù)事務(wù)

SA?8

安全工程原則

A.14.2.5安全系統(tǒng)工程原則衍生的安全要求

SC?2

應(yīng)用程序分區(qū)無直接映射。3.13.4防止未經(jīng)授權(quán)和SC?4共享信息沒有直接映射。非預(yù)期信息資源通過共享系統(tǒng)傳輸資源。3.13.5為可公開訪問的系統(tǒng)組件實施與內(nèi)部網(wǎng)絡(luò)物SC?7邊界保護A.13.1.1網(wǎng)絡(luò)控制

網(wǎng)絡(luò)中的隔離信息傳輸政策和程序A.14.1.3

保護應(yīng)用程序服務(wù)事務(wù)（許）。

SC?7(5)邊界防護默認拒絕/允許例外

沒有直接映射。SA?8（安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制同時建立非遠程連接

SC?7(7)邊界防護防止分割隧道遠程設(shè)備

沒有直接映射。外部網(wǎng)絡(luò)（即分割隧道）。

SC?8

A.8.2.3

資產(chǎn)處理

保密和

A.13.1.1網(wǎng)絡(luò)控制措施進行保護。

直

信息傳輸政策和程序

電子信息A.14.1.3

保護應(yīng)用程序服務(wù)事務(wù)SC?8(1)變速箱保密和正直

沒有直接映射。后。

SC?10

網(wǎng)絡(luò)斷開

A.13.1.1網(wǎng)絡(luò)控制鑰。

SC?12

密鑰設(shè)立及管理

A.10.1.2

密鑰管理CUIFIPS驗證的加密技術(shù)。

SC?13

密碼學(xué)保護

使用加密控制的政策A.14.1.3

保護應(yīng)用程序服務(wù)事務(wù)A.3.12禁止遠程激活SC?15協(xié)作性A.13.2.1*信息傳輸計算設(shè)備政策與程序發(fā)送給設(shè)備旁的用戶。3.13.13控制和監(jiān)控移動代碼的使用。SC?18手機代碼沒有直接映射。安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制3.13.14控制和監(jiān)控使用SC?19互聯(lián)網(wǎng)語音沒有直接映射?；ヂ?lián)網(wǎng)語音(VoIPSC?23協(xié)議會話真實性沒有直接映射。

SC?28

保護靜態(tài)信息

資產(chǎn)處理表D?14：將系統(tǒng)和信息完整性要求映射到控制安全要求

NISTSP800?53相關(guān)安全控制

ISO/IEC27001相關(guān)安全控制基本安全要求陷

SI?2

缺陷修復(fù)

A.12.6.1

技術(shù)漏洞方式。操作平臺變更后的應(yīng)用

SI?3

A.16.1.3

報告信息安全弱點針對惡意軟件的控制SI?5

與特殊利益群體的聯(lián)系衍生的安全要求

SI?3

A.12.2.1

針對惡意軟件的控制可用的。外部源作為文件下載、打開或執(zhí)行。

SI?4 SI?4(4)系統(tǒng)監(jiān)控入境和出境通訊流量

沒有直接映射。沒有直接映射。

SI?4

系統(tǒng)監(jiān)控

沒有直接映射。PP2附錄E第附錄E第85頁附錄E剪裁標準中等安全控制基線和定制行動清單他的附錄提供了[SP800?53]中的安全控制列表[FIPSCUI

36中等基線，E?1E?17NISTNARACUI派生安全要求的開發(fā)，這些安全要求補充了基本安全要求。

37主要有以下三個（）；或39表E?1至表E?17中使用表E中的以下符號來指定所采取的剪裁操作或不需要剪裁操作時的情況。表剪裁剪裁標準象征崔

CUI預(yù)計通常會得到非聯(lián)邦組織的滿意，但沒有具體說明。CUI基本或派生安全要求反映在安全控制、控制增強或控制/增強的特定元素中，并且可追溯至安全控制、控制增強或控制/增強的特定元素。表1到4TPT特537同樣的定制標準適用于[FIPS200]中的安全要求，從而產(chǎn)生了第三章中描述的CUI基本安全要求。CUI[SP39根據(jù)適度基線定制的安全控制措施（即專門標記為NCO或NFO的控制措施）1至7）表NISTSP800?53剪裁適度的基線安全控制行動交流?1訪問控制政策和程序交流?2帳戶管理崔AC?2(1)賬戶管理|自動化系統(tǒng)賬戶管理AC?2(2)賬戶管理|刪除臨時/緊急賬戶AC?2(3)賬戶管理|禁用不活動帳戶AC?2(4)賬戶管理|自動審計操作AC?3訪問執(zhí)行崔交流?4信息流執(zhí)行崔交流?5職責分離崔AC?6最低權(quán)限崔AC?6(1)最低權(quán)限|授權(quán)訪問安全功能崔AC?6(2)最低權(quán)限|非安全功能的非特權(quán)訪問崔AC?6(5)最低權(quán)限|特權(quán)帳戶崔AC?6(9)最低權(quán)限|審計特權(quán)功能的使用崔限能 崔AC?7AC?8AC?11

敗 崔知 崔定 崔定示 崔AC?12AC?14AC?17

崔崔問測/制 崔問性性 崔問點 崔問令/問 崔AC?18

入 崔入密 崔AC?19

制 崔制備密 崔AC?20

用 崔AC?21

崔崔

容 崔PP2附錄E第附錄E第87頁表NISTSP800?53 制 動AT?1AT?2安全意識和培訓(xùn)政策和程序安全意識培訓(xùn)崔AT?2(2)安全意識|內(nèi)部威脅崔AT?3基于角色的安全培訓(xùn)崔AT?4安全培訓(xùn)記錄表NISTSP800?53 制 動AU?4AU?5AU?6AU?7AU?7(1)AU?8AU?8(1)AU?9AU?9(4)AU?11AU?12

審計活動|評論和更新審計記錄的內(nèi)容審計記錄的內(nèi)容|額外的審計信息審計存儲容量審計審查、分析和報告|流程整合審計減少和報告生成減少審計和生成報告|自動加工時間戳?xí)r間戳|與權(quán)威時間源同步審計信息的保護審計記錄保留審計生成

崔崔崔崔崔崔崔崔崔崔崔崔崔表NISTSP800?53 制 動CA?3CA?5CA?6CA?7CA?7(1)CA?9

安全評估|獨立評估員系統(tǒng)互連持續(xù)監(jiān)控|獨立評估內(nèi)部系統(tǒng)連接

崔崔崔表NISTSP800?53 制 動CM?1配置管理政策和程序CM?2基線配置崔CM?2(1)基線配置|評論和更新CM?2(3)基線配置|保留以前的配置CM?2(7)基線配置|為高風(fēng)險區(qū)域配置系統(tǒng)、組件或設(shè)備CM?3配置變更控制崔CM?3(2)配置變更控制|測試/驗證/記錄變更CM?4安全影響分析崔CM?5更改的訪問限制崔CM?6配置設(shè)置崔CM?7最少的功能崔CM?7(1)最少的功能|定期審查崔CM?7(2)最少的功能|阻止程序執(zhí)行崔能件/單 崔CM?8CM?8(1)CM?8(3)CM?8(5)CM?9

系統(tǒng)組件庫存系統(tǒng)組件庫存|安裝/拆卸期間的更新

崔崔崔NIST特別出版物800?53。然而，它是作為黑名單的可選且更強大的政策替代方案提供的。P2附錄E第附錄E第90頁表NISTSP800?53剪裁適度的基線安全控制行動CP?1應(yīng)急計劃政策和程序CP?2應(yīng)急方案CP?2(1)應(yīng)急計劃|與相關(guān)計劃協(xié)調(diào)CP?2(3)應(yīng)急計劃|恢復(fù)基本任務(wù)/業(yè)務(wù)職能CP?2(8)應(yīng)急計劃|識別關(guān)鍵資產(chǎn)CP?3應(yīng)急培訓(xùn)CP?4應(yīng)急計劃測試CP?4(1)應(yīng)急計劃測試|與相關(guān)計劃協(xié)調(diào)CP?6備用存儲站點CP?6(1)備用存儲站點|與主要場地分離CP?6(3)備用存儲站點|無障礙CP?7替代處理地點CP?7(1)備用處理站點|與主要場地分離CP?7(2)備用處理站點|無障礙CP?7(3)備用處理站點|服務(wù)優(yōu)先級CP?8電訊服務(wù)CP?8(1)電信服務(wù)|服務(wù)提供的優(yōu)先順序CP?8(2)電信服務(wù)|單點故障CP?9系統(tǒng)備份崔CP?9(1)系統(tǒng)備份|可靠性/完整性測試CP?10系統(tǒng)恢復(fù)與重構(gòu)CP?10(2)系統(tǒng)恢復(fù)和重建|交易恢復(fù)DPP2附錄E第附錄E第93頁表NISTSP800?53剪裁適度的基線安全控制行動IA?1身份識別和認證政策和程序IA?2身份識別和認證（組織用戶）崔IA?2(1)身份識別和認證（組織用戶）|特權(quán)網(wǎng)絡(luò)訪問賬戶崔IA?2(2)身份識別和認證（組織用戶