联邦 IT 系统安全认证和认可指南 SP800-37.txt39 人生旅程并不是一帆风顺的,逆境 失意
会经常伴随着我们,但人性的光辉往往在不如意中才显示出来,希望是激励我们前进的巨大
的无形的动力。40 奉献是爱心,勇于付出,你一定会收到意外之外的馈赠。 本文由 nglang
贡献
doc 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT,或下载源文件到本机查看。
NIST 特别出版物 800-37 800-
联邦 IT 系统安全认证 和认可指南
公共草案版 Ron Ross,Marianne Swanson ,
计算机安全处 信息技术实验室 国家标准和技术研究所 Gaithersburg, MD 20899-8930
第 1.0 版
2002 年 10 月
美国商务部
部长:Donald L. Evans
技术局
商务部技术副部长:Phillip J. Bond
国家标准和技术研究所
主任:Arden L. Bement, Jr.
目录
法律依据„„ 1 法律依据 执行摘要„„ 2 执行摘要 介绍„„ 3 第 1 章 介绍 1.1
1.2 1.3 1.4 1.5 1.6 背景 „„ 4 目的和范围 „„ 4 系统生命周期 „„ 5 组件产品评
估程序 „„ 5 与其他 NIST 安全出版物的关系 „„ 5 本文的组织结构 „„ 7
基础„„ 8 第 2 章 基础 2.1 角色和责任 „„ 8 2.1.1 指派的批准官员(DAA) „„
8 2.1.2 认证员和认证组 „„ 9 2.1.3 项目经理和系统所有者 „„ 9 2.1.4 系统安全
官 „„ 9 2.1.5 其他支持性角色和角色代表 „„ 9 2.2 IT 系统全貌 „„ 10 2.2.1 主
应用„„ 10 2.2.2 通用支撑系统 „„ 10 2.2.3 平台 IT 互联和外包 IT 过程 „„ 11
2.3 认可类别 „„ 11 2.3.1 系统认可„„ 11 2.3.2 类型认可„„ 12 2.3.3 场地认
可„„ 12 2.4 认证和认可文档 „„ 13 2.4.1 系统安全计划 „„ 13 2.4.2 安全测试和
评估报告 „„ 14 2.4.3 风险评估报告 „„ 14 2.4.4 认证员声明 „„ 14 2.5 对大规模
复杂系统的认可 „„ 14 2.6 认可决策和残余风险 „„ 16 2.6.1 全认可„„ 16 2.6.2
临时认可„„ 16 2.6.3 认可否决„„ 17 第 3 章 安全控制和认证级„„ 18 3.1 描述 IT
系统 „„ 18 3.1.1 系统的关键性/敏感性 „„ 18
2
3.1.2 系统暴露„„ 18 3.1.3 关注级„„ 19 3.2 安全控制 „„ 22 3.2.1 安全控制
的组织 „„ 22 3.2.2 安全控制的选择 „„ 22 3.2.3 安全控制选择的调整 „„ 23
3.2.4 安全控制选择总结 „„ 24 3.3 安全认证级 „„ 24 3.3.1 第 1 级安全认证
(SCL-1)„„ 25 3.3.2 第 2 级安全认证( SCL-2)„„ 25 3.3.3 第 3 级安全认证
(SCL-3)„„ 25 3.3.4 认证级选择 „„ 26 3.3.5 认证级选择总结 „„ 27 3.3.6 将认
证级与安全控制相关联 „„ 29 3.4 安全控制的验证 „„ 29 第四章 认证和认可过
程„„ 31 4.1 4.2 4.3 4.4 预认证阶段 „„ 31 认证阶段 „„ 38 认可阶段 „„ 39 认
可后阶段 „„ 41
附录 A 参考文献 „„ 45 附录 B 术语表 „„ 46 附录 C 缩略语„„ 54 附录 D 认
可证书范本„„ 55 认证包移交声明„„ 55 认可决策证书(全认可) „„ 55 认可决定证
书(临时认可) „„ 56 认可决定证书(认可否决) „„ 57
3
剩余40页未读,继续阅读
资源评论
