「NIST 特刊 800-53 修訂 4」報告

重要性

NIST 擬訂及發佈各種標準、準則及其他出版品，以協助聯邦政府機構實施 2002 年的「聯邦資訊安全管理法案 (FISMA)」，其中包括最低需求，以便提供所有政府機構作業與資產的適當資訊安全，但這些標準與準則不應套用至國家安全系統。「聯邦資訊存取安全標準 (FIPS)」是 NIST 依照 FISMA 所擬訂。FISMA 要求聯邦政府機構符合這些標準，因此，它們必須如此。指引文件與建議發佈於「NIST 特刊 (SP) 800」系列中。「預算管理局 (OMB)」政策指出，除了國家安全計劃與系統之外，政府機構必須遵循 NIST 指引。

FIPS 200（聯邦資訊和資訊系統的最低安全需求）是為了回應 FISMA 而擬訂之不得免除的強制性標準。如果要符合聯邦標準，政府機構必須先判斷其資訊系統的安全種類是否符合 FIPS 199（聯邦資訊系統的安全種類標準）的規定，然後套用 NIST SP 800-53 中一組適當的基準安全控制。政府機構的風險評量，是藉由判斷是否需要額外的控制來保護政府機構作業、政府機構資產或個人，從而驗證這一組安全控制。這組最終產出的安全控制，會建立起聯邦政府機構及其承包人的「安全查核」等級。

除非 OMB 或 NIST 另有指示，否則，政府機構應在 NIST 安全標準和準則發佈一年之內符合標準。（NIST SP 修訂版的一年符合標準日期，只適用於新資料和/或更新的資料。）