“NIST 专刊 800-53 修订版 4”报告

它为什么重要

NIST 制定和颁布标准、准则及其他出版物，以协助联邦机构实施 Federal Information Security Management Act of 2002 (FISMA)，包括为所有机构运营提供足够的信息安全和资产对应的最低要求，但是此类标准和准则不适用于国家安全系统。Federal Information Processing Standards (FIPS) 由 NIST 依照 FISMA 制定。由于 FISMA 要求联邦机构遵守这些标准，因此它们必须遵守。指导文档和建议在 NIST Special Publication (SP) 800 系列中颁布。管理和预算办公室（Office of Management and Budget，OMB）政策声明，除国家安全计划和系统外，机构必须遵循 NIST 指导。

FIPS 200《联邦信息和信息系统最低安全要求》是对应 FISMA 制定的一项强制性且不可放弃的标准。要遵守此联邦标准，机构必须首先依照 FIPS 199《联邦信息系统的安全分类标准》的规定确定其信息系统的安全类别，然后在 NIST SP 800-53 中应用相应的基准安全控制集。机构的风险评估通过确定是否需要任何其他控制来保护机构运营、机构资产或个人，对安全控制集进行验证。所产生的安全控制集将为联邦机构及其承包商建立“审慎安全性”级别。

除非 OMB 或 NIST 另行指示，否则机构在出版之日一年内应遵守 NIST 安全标准和准则。（NIST SP 修订版的一年遵守日期仅适用于新的和/或更新的资料。）