NIST SP 800-53 R5的摘要

-安全和隐私控制系列（来源：NIST SP 800-53 R5）
.安全和隐私控制有效性解决了正确执行控件，按预期运行并在满足指定的安全和隐私要求方面产生期望结果的程度。
.一个信息系统是一组离散的信息的资源的收集组织，处理，维护，使用，共享，传播，或信息处置[OMB A-130]。
.控制措施为系统安全和隐私工程流程提供了保障和对策，以降低系统开发生命週期中的风险。
.可以将控制视为对适合实现组织特定安全和隐私目标并反映组织利益相关者保护需求的保护和保护功能的描述。
.组织选择并实施控制措施以满足系统要求。
.控制可以包括管理，技术和物理方面。
.为了便于在安全和隐私控件的选择和说明过程中使用，控件分为20个系列。
.NIST SP 800-53中的20个控制系列中，有17个符合[FIPS 200]中的最低安全要求。
.该专案管理（PM） ，PII处理和透明度（PT），以及供应链风险管理（SR）的家庭地址的企业级专案管理，有关联邦法律法规的隐私，以及供应链风险的考虑，因为[FIPS 200]突现。

.选择并实施安全和隐私控制，以满足对系统或组织提出的安全和隐私要求。
.安全控制是在系统或组织内採用的安全措施或对策，以保护系统及其信息的机密性，完整性和可用性并管理信息安全风险。
.隐私控制是系统或组织内採用的管理，技术和物理保护措施，用于管理隐私风险并确保遵守适用的隐私要求。

.安全和隐私要求源自适用的法律，行政命令，指令，法规，政策，标準和任务需求，以确保处理，存储或传输的信息的机密性，完整性和可用性，并管理个人隐私风险。
.如USC 44第3542节所定义的，被指定为国家安全系统的信息系统不受[FISMA]的要求。但是，可以根据其他要求（例如1974年的《隐私法》）或在对此类系统行使政策授权的联邦官员的批准下，为国家安全系统选择本出版物中建立的控件。
.[CNSSP 22]和[CNSSI 1253]为国家安全系统提供指南。
.[DODI 8510.01]为国防部提供了指导。
.最后，控件独立于选择那些控件所使用的过程。的控制选择过程可以是的一部分：
.组织範围内的风险管理流程，
. 系统工程过程[SP 800-160-1]，
. 风险管理框架[SP 800-37]，
.网络安全框架[NIST CSF]，或
.隐私框架[NIST PF]。
.该控制的选择标準可以指导和许多因素，包括任务和业务需求，利益相关者的保护需求，威胁，脆弱性，并要求遵守联邦法律，行政命令，指令，法规，政策，标準和準则通知。

-控制结构（来源：NIST SP 800-53 R5）

控制实施方法
.第三章中提供了三种实现控件的方法：
.（1）通用的（可继承的）控制实现方法，
.（2）一种系统特定的控制实现方法，以及
.（3）混合控制的实现方法。
.确定适当的控制实现方法（即通用，混合或特定于系统）取决于上下文。
.通用控件是指这样的控件，其实现会导致可被多个系统或程序继承的功能。
.特定于系统的控制是系统所有者和给定係统的授权官员的主要责任。
.如果控件的一部分是公共的（可继承的）而另一部分是特定于系统的，则组织可以将控件实现为混合控件。
.[SP 800-37]提供了有关控制实施方法（以前称为控制名称）以及如何在风险管理框架中使用不同方法的其他指南。
.在这种情况下，可信度意味着值得信任，以满足组件，子系统，系统，网络，应用程序，任务，业务功能，企业或其他实体可能需要的任何要求。
.影响系统可信赖性的两个基本概念是功能和保证。
.功能是根据在组织系统和程序以及这些系统和程序在其中运行的环境中实现的安全和隐私功能，功能，机制，服
务，过程和体系结构定义的。
.保证是对系统功能正确实现，按预期运行并在满足系统安全性和隐私要求方面产生期望结果的信心的度量，因此具
有準确调解和执行已建立的安全性和隐私策略的能力。

参考
.NIST SP 800-53 R5
.NIST SP 800-53B

资料来源： Wentz Wu 网站