SP 800-53：聯邦IT系統最低安全控制

SP 800-53是NIST系統認證與認可項目的第二部分。它的目標是“根據IT系統對機密性、完整性和機密性的低、中、高關注度，為其建立一組標準的最低安全控制。”它從其他的很多聯邦資料獲取信息，這些資料包括NIST.SP 800--26，美國國防部(DoD) 8500 號政策，clirector of central intelligence directive6-3，ISO/IEC標準17799，以及美國審計總署( GAO，General Accounting Office)的聯邦信息系統控制審計手冊。

正如先前的NIST文檔（特別是SP 800-18）提到的，SP 800-53中的安全控制被劃分為我們熟悉的3類：管理、操作和技術。這3個種類中的每一類都處理了安全問題的不同方面，包括“風險管理、系統開發與采集、配置管理、系統交互、人員安全、安全意識提升、教育和培訓、物理以及環境保護、媒質保護、應急計劃、硬件與系統軟件維護、系統和數據的完整性、文檔記錄、事故響應能力、識別和認證、邏輯訪問、審計和通訊。”對于C&A標準來說，關鍵要素是一個新的概念，這個概念最初是在SP 800-26里面定義的。關鍵要素表示“系統中與安全相關的重要中心領域，該系統的每一個關鍵要素都有一個或多個相應的安全控制。”因為技術在不停地發展，所以各種安全控制也會不斷地進步，并且它還會需要另外的控制機制。 圖64描述了認證認可流程中的參與者。

　　NIST SP 800-53，聯邦信息技術系統最低安全控制，以及它的配套文件，NIST SP 800-53A，聯邦信息技術系統安全控制有效性檢驗技術和流程，預計在2003年末或者2004年初發布。