? ? ? ? 9月23日，NIST發(fā)布《SP 800-53 第5版 信息系統(tǒng)和組織的安全和隱私控制》，該文件一直被視作NIST信息安全的支撐性文件，本次更新旨在開發(fā)一個(gè)全面的安全和隱私控制目錄，用于管理不同規(guī)模的組織從超級計(jì)算機(jī)到工業(yè)控制系統(tǒng)再到物聯(lián)網(wǎng)（IoT）設(shè)備的所有類型的系統(tǒng)風(fēng)險(xiǎn)。這些控制措施提供了一種主動而又系統(tǒng)的方法，以確保關(guān)鍵的系統(tǒng)、組件和服務(wù)具有足夠的可信度和必要的網(wǎng)絡(luò)彈性，從而維護(hù)美國的國家安全和經(jīng)濟(jì)利益。

? ? ? 【注】SP800（SP，Special Publications）是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的一系列關(guān)于“信息安全的指南”。在NIST的標(biāo)準(zhǔn)系列文件中，雖然NIST SP并不作為正式法定標(biāo)準(zhǔn)，但在實(shí)際工作中，已經(jīng)成為美國和國際安全界得到廣泛認(rèn)可的事實(shí)標(biāo)準(zhǔn)和權(quán)威指南。NIST SP800系列成為了指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。

? ? ? ? SP 800-53是信息安全風(fēng)險(xiǎn)管理框架的重要組成部分，為選擇和規(guī)定信息系統(tǒng)安全控制措施提供了指導(dǎo)原則。主要介紹了安全控制措施選擇和規(guī)范化的基本概念以及為信息系統(tǒng)選擇和說明控制措施的過程，以幫助組織達(dá)到對信息系統(tǒng)安全和風(fēng)險(xiǎn)的有效管理。

? ? ? ? ?SP 800-53 是不定期更新的文檔，第5版的重要變更如下：

? ? ? ? ??控制要求變?yōu)榻Y(jié)果導(dǎo)向：從控制說明中刪除了“由信息系統(tǒng)、組織滿足控制要求”，強(qiáng)調(diào)通過應(yīng)用來實(shí)現(xiàn)安全保障作用。為了與上版內(nèi)容保持連貫，新版在附錄C（控制的總結(jié)）中額外增加了內(nèi)容為“由‘系統(tǒng)/組織’實(shí)現(xiàn)”的一列。

? ? ? ? ??合并控制目錄：將信息安全和隱私控制集成到系統(tǒng)和組織的統(tǒng)一控制目錄中。原修訂版4附錄J中的隱私控制已合并到新的隱私體系和現(xiàn)有的程序管理體系中。此外，一些隱私控制還被合并到當(dāng)前的安全控制中，從而使這些控制既可以服務(wù)于安全又可以保護(hù)隱私，進(jìn)一步提升了控制功能。

? ? ? ? ??整合供應(yīng)鏈風(fēng)險(xiǎn)管理：建立了一個(gè)新的供應(yīng)鏈風(fēng)險(xiǎn)管理（SCRM）控制體系，并將這個(gè)新的體系與已有體系相結(jié)合，以保護(hù)關(guān)鍵系統(tǒng)和基礎(chǔ)設(shè)施中的系統(tǒng)組件、產(chǎn)品和服務(wù)。SCRM控制體系有助于解決國家乃至全球供應(yīng)鏈在整個(gè)系統(tǒng)開發(fā)生命周期中的隱私安全和威脅問題。

? ? ? ? ??將選擇控制過程與控制目錄分離：新版本擁有一個(gè)統(tǒng)一的、獨(dú)立的控制目錄，可允許系統(tǒng)工程師、安全架構(gòu)師、軟件開發(fā)人員、企業(yè)架構(gòu)師、系統(tǒng)安全和隱私工程師、業(yè)務(wù)所有者等各類人員根據(jù)組織策略和業(yè)務(wù)需要使用個(gè)性化的流程來選擇控制，并使其更好地協(xié)作。

? ? ? ? ??將控制基線和裁剪指南轉(zhuǎn)移到單獨(dú)的出版物：將控制基線移到了新的NIST SP 800-53B《信息系統(tǒng)和組織的控制基線》中。這三條安全基線和一條隱私基線適用于聯(lián)邦機(jī)構(gòu)，反映了《聯(lián)邦信息安全現(xiàn)代化法案（FISMA）》和《管理和預(yù)算辦公室（OMB）A-130號通知》的具體要求。其他組織可根據(jù)其業(yè)務(wù)需要和組織風(fēng)險(xiǎn)承受能力，選擇制定自己的定制基線。

? ? ? ? ??改進(jìn)對內(nèi)容關(guān)系的描述：澄清了要求和控制之間的關(guān)系，以及安全和隱私控制之間的關(guān)系。這些關(guān)系有助于用戶判斷是在企業(yè)級選擇和實(shí)施控制，還是將其作為基于生命周期的系統(tǒng)工程過程的一部分。

? ? ? ? ??新增可實(shí)踐控制：隨著網(wǎng)絡(luò)威脅的迅速發(fā)展，需要新的保障措施和對策來保護(hù)組織的重要資產(chǎn)，包括個(gè)人隱私和個(gè)人身份信息。版本5基于最新的威脅情報(bào)和網(wǎng)絡(luò)攻擊數(shù)據(jù)增加了新的控制（如支持網(wǎng)絡(luò)彈性、安全系統(tǒng)設(shè)計(jì)、安全和隱私治理等）。

? ? ? ? ?目前，NIST SP 800系列已經(jīng)出版了近90本同信息安全相關(guān)的正式文件，形成了從計(jì)劃、風(fēng)險(xiǎn)管 理、安全意識培訓(xùn)和教育以及安全控制措施的一整套信息安全管理體系，如：

?NIST SP800-53和SP800-60描述了信息系統(tǒng)與安全目標(biāo)及風(fēng)險(xiǎn)級別對應(yīng)指南

?NIST SP800-26和SP800-30分別描述了自評估指南和風(fēng)險(xiǎn)管理指南

?NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

?NIST SP800-30分別描述了自評估指南和風(fēng)險(xiǎn)管理指南

?NIST SP800-34信息技術(shù)系統(tǒng)應(yīng)急計(jì)劃指南

?NIST SP800-34安全內(nèi)容自動化協(xié)議（SCAP）指南

? ? ? ? ?此外，NIST還陸續(xù)發(fā)布了多種框架來幫助用戶選擇和實(shí)施這些控制，包括風(fēng)險(xiǎn)管理框架（RMF）、網(wǎng)絡(luò)安全框架（CSF）、隱私框架（PF）。這次新版控制目錄的內(nèi)容NIST將以不同格式陸續(xù)發(fā)布，詳情可參見NIST官網(wǎng)：https://csrc.nist.gov。