联邦IT系统安全认证和认可指南SP800-37.pdf
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
**联邦IT系统安全认证和认可指南SP800-37**是美国国家标准和技术研究所(NIST)发布的一份重要文档,旨在为联邦政府的IT系统提供安全认证和认可的流程和标准。这份指南旨在确保联邦IT系统在处理敏感信息时能够达到必要的安全水平。 **执行摘要**中提到,指南的目标是定义一套过程,以确保IT系统在整个生命周期内满足安全需求,包括认证和认可阶段。认证关注的是系统设计和实现的安全控制,而认可则涉及基于风险评估的决策,确认系统是否可以接受残余风险并投入运营。 **基本概念**中,指南介绍了不同的角色和责任,如指定的批准官员(DAA)负责最终的授权决定,认证员负责评估安全控制的实施,项目经理和系统所有者负责系统的开发和运营,系统安全官则监督安全相关的活动。此外,IT系统被分为主要应用、通用支撑系统、平台IT互联和外包IT过程等组成部分。 **认可类别**包括系统认可、类型认可和场地认可,分别针对整个系统、特定组件或特定物理位置。认证和认可文档,如系统安全计划、安全测试和评估报告、风险评估报告以及认证员声明,是整个过程中的关键文件。 **安全控制和认证级**部分详细描述了如何根据系统的关键性和敏感性、暴露风险以及关注级别来选择和调整安全控制。NIST定义了三个安全认证级别(SCL-1到SCL-3),每个级别对应不同的安全控制强度,机构需根据自身需求选择合适的认证级,并确保与安全控制相匹配。 **认证和认可过程**涵盖了预认证、认证、认可和认可后四个阶段。预认证阶段包括需求分析和规划;认证阶段关注安全控制的实施和评估;认可阶段基于风险评估做出是否投入使用的决定;认可后阶段涉及持续监控和维护。 **法律依据**强调了NIST制定此指南的法律背景,即1987年《计算机安全法案》和1996年《IT管理改革法案》,并指出这些指南适用于联邦机构,也可以自愿为非政府机构采用。 **总结**,SP800-37为联邦IT系统提供了一个全面的安全框架,包括角色分配、系统分类、安全控制选择、认证级别确定以及整个生命周期的安全管理。它不仅帮助机构满足法规要求,而且通过严谨的流程确保了敏感信息的安全。
剩余40页未读,继续阅读
- 粉丝: 1w+
- 资源: 6万+
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- lsb-release,安装磐维数据库,安装oracle数据库等常用的依赖包
- redhat-lsb-core,安装磐维数据库,安装oracle数据库等常用的依赖包
- 丹佛丝堆垛机变频器参数配置起升、运行、货叉
- JSP学生学籍管理系统(源代码+论文+开题报告+外文翻译+答辩PPT).rar
- jsp医院病区管理系统(论文+中期检查表+任务书+综合材料).rar
- jsp研究生党建管理系统pc-毕业设计.rar
- JSP在线考试系统的设计与实现(源代码+论文).rar
- JSP在线CD销售系统(论文).rar
- jSP在线教学质量评价系统的设计与实现(源代码+论文).rar
- JSP自动排课管理系统(源代码+论文+开题报告).rar
- JSP在线学习系统设计(源代码+论文).rar
- JSP作业管理系统(源代码+论文).rar
- JSP自动排课系统(源代码+论文+开题报告).rar
- lerx2_utf8_v2_beta2_20121214.rar
- putty,linux客户端工具
- 提高Windows 11文件资源管理器显示文件夹大小功能