2018保护非联邦信息系统和组织中受控的非分NIST.SP.800-171r2

NIST特别出版物800‑171修订版2保护受控非机密非联邦系统和组织中的信息P2计算机系统技术报告(NIST(ITLITL(IT产性使用。ITL800ITL行业、政府和学术组织的合作活动。PP2抽象的(CUICUI中列出的CUI类别，授权法律、法规或政府政策没有规定保护CUI机密性的具体保护要求。这些要求适用于处CUI关键词CUI13556FIPS物；S；；T商标信息所有名称均为其各自所有者的商标或注册商标。第三页PP2专利公开通知(ITLITLITLITL（LITL并未声明或暗示使用本出版物时无需获得许可即可避免专利侵权。注意事项2014(CUI[FISMAOMB制定NIST[FIPS[SPCUI[32CFR2002]随[FISMA[FIPS200][SPCUINIST出版物[FIPS[SP800‑53CUICUIPP2CUI安全要求本出版物中包含的建议安全要求仅适用于第七页PP2第八页第八页改善关键基础设施网络安全的框架[NIST[SP[ISO27001]NIST或ISO/IEC其他资源将安全控制映射到网络安全框架：/publications/detail/nistir/8170/draft。将CUI安全要求映射到网络安全框架：/projects/cybersecurity‑framework/informative‑reference‑catalog/details/1。PP2页面页面PAGE\*romanx目录介. 1性. 2众. 4织. 4识. 5设. 5定. 6求. 9制. 10训. 16责. 17理. 20证. 23应. 263.7护. 27护. 29全. 31护. 32估. 33估. 34护. 36性. 40录A献 录表. 51录语. 60录表 61录准. 84勘误表此表包含已纳入特别出版物800‑171中的更改。勘误更新可以包括出版物中的编辑性或实质性的更正、澄清或其他细微更改。期 型 变 页日 日

FrontMatter框“求为 七“安全要求适用”11I件。” 21.1节第2CUICUI围。日 日

（如子 2CUI1.13是”3日

16ICUI（CUI地为CUI4PP2第一章第第一章第4页第一章介绍保护受控非机密信息的必要性今天，联邦政府比历史上任何时候都更加依赖外部力量时间服务提供商帮助执行广泛的联邦任务和业务职能

1许多联邦承包商处理、存储和传输）至关重要，并且可以直接影响联邦政府执行其指定任务和业务运营的能力。(CUI)3制定计划以标准化行政部门处理需要保护的非机密信息的方式。4仅需要的信息CUICUICUI[NARACUICUICUI（CUICUICUICUI括但不限于标记、保护、运输、传播、再使用和处置信息。/统CUI3受控非机密信息是指法律、法规或政府政策要求保护或传播控制的任何信息，不包括根据[EO13526]或任何先前或后续命令或经修订的[ATOM54]分类的信息。4[EO13556]指定国家档案和记录管理局(NARA)作为实施CUI计划的执行机构。[EO13556]还要求CUI计划强调政府范围内做法的公开性、透明度和统一性，并且该计划的实施方式应符(OMB(NIST邦5由CUI执行官制定CUII)当I(27(3CUICUICUI8CUII（CUI的安全性，并避免将组织的安全状况提高到超出保护其任务、运营和资产所需的水平。5[32CFR2002]于2016年9月14日发布，并于2016年11月14日生效。求Br0求（）需求的表达。所有这些要求在应用于系统时，有助于确定系统所需的特性。[FISMA[FIPS200[FIPS[SP800‑53]（参见[44USC3554](a)(1)(A)）。[44USC3554。CUI指南和I)0I根据联邦CUI法规，使用联邦系统处理、存储或传输CUI的联邦机构至少必须遵守：)（密）； 12)TTCUICUICUII（）T第二章中描述的定制标准无意减少或最小化联邦CUI法规中表达的保护CUI的联邦要求。相反，其目的是以允许并促进CUI保护级别CUICUINARACUIFAR联邦CUI法规和NIST800‑171FARNIST[SPCUI[FIPS（）（）。CUIBasic14(NARACUICUIFARCUICUICUI（）I施用于多个政府合同或协议政策。本出版物为公共和私营部门的各种个人和组织提供服务，包括但不限于具有以下特征的个人：（）；（）；（）（）。本特别出版物的其余部分组织如下：保护CUI机密性的安全要求；要求的格式和结构；以及应用于NIST标准和指南以获得要求的定制标准。CUICUI[SPO14CUIBasic在CUI注册表[NARACUI]中定义。PP2第二章第第二章第8页第二章基本原理制定安全要求的假设和方法该章描述了用于开发的假设和方法时间建议的安全要求，以保护非联邦系统中的CUI和组织；基本和派生安全要求的结构；和适用于联邦信息安全要求和控制的定制标准。本出版物中描述的建议安全要求是基于三个基本假设制定的：（CUICUI‧CUI的机密性影响值不低于[FIPS199]中等。

1516这些假设强化了这样的概念：指定为CUI的联邦信息具有相同的特征。CUICUI（[FIPS[FIPS[SP[32CFR2002]CUI但是，当建立CUI控制的联邦法律、法规或政府政策指定与中等保密基线不同的控制时，将遵循这些控制。为CUI实施单一国家安全解决方案CUI在非联邦系统和组织中保护CUI机密性的安全要求具有明确定义的结构，由基本安全要求部分组成S[SP800‑53从（I）（）；CUI附录CUICUI

基本安全要求和派生安全要求的结合体现了[FIPS[SPCUI[SP[ISO27001CUI[FIPS[SP信息安全计划的安全策略、程序和实践。鼓励非联邦组织参考附录E和[SP800‑53]，以获取被视为超出第三章安全要求范围的适度基线中的安全控制的完整列表。CUI（CUI数字的。CUICUI衍生的安全要求CUICUI控制区域之外。CUI运输过程中的介质，除非另有其他物理防护措施的保护。CUI200由于定制标准，要求不包含在本出版物的范围内。18表1列出了本出版物中涉及的安全要求系列。表家庭家庭访问控制媒体保护意识和培训人员安全事件响应维护系统和通讯保护系统和信息完整性（（（每个CUI[SP800‑53]CUI非详尽无遗，并且不反映组织可用的潜在选项。图1说明了基本安全要求3.8.3及其支持讨论部分和信息参考。3.8.3

在处置或释放以供重复使用之前，对包含CUI的系统介质进行消毒或销毁。（）（NARA[SP800‑88]提供有关介质清理的指南。图1：CUI安全要求的格式和结构PP2第PAGE第30页第三章保护CUI机密性的安全要求该章描述了14个建议的安全要求系列时间保护非联邦系统和组织中CUI的机密性。[SP20NIST

19这（[ISO）21讨论部分CUI施任何计划的缓解措施。组织可以以任何选定的格式将系统安全计划和行动计划记录为单独或组合的文件。22CUI20附录D中的安全控制参考是为了促进更好地理解建议的安全要求，而不是扩大要求的范围。[ISO[SP800‑53]。

[NISTCUI]提供特别出版物800‑171的补充材料，包括系统安全模板（是否建议与非联邦组织签订协议或合同。CUI（例业）（2.2组织系统的含义CUICUICUICUI基本安全要求设备（包括其他系统）。讨论（（（（例3.1.2讨论（（）。衍生的安全要求讨论（）Web代理服务器的Internet请求（（（）。（在代表具有不同安全策略的不同安全域的系统之间传输信息会带来这样的传输违反一个或多个域安全策略的风险。（）（）账户。讨论（）。（讨论（审计日志中的此类功能。讨论3.1.2讨论无论登录是通过本地连接还是网络连接进行，此要求均适用。由于存在拒绝服务的可能性，在大多数情况下，系统发起的自动锁定是暂时的，并会在系统建立的预定期限后自动解除。（）CUI讨论各组织咨询总法律顾问办公室，以进行警告横幅内容的法律审查和批准。讨论（）（讨论（（访（）。（（讨论（（(VPNVPNVPN（VPN（）。[SP800‑46]、[SP800‑77]和[SP800‑113]提供有关安全远程访问和虚拟专用网络的指南。讨论加密标准包括FIPS验证的加密和NSA批准的加密。T密]；T；T讨论CUI讨论（讨论建立无线访问系统的使用限制和配置/连接要求为组织提供支持无线访问授权决策的标准。这些限制和要求降低了通过无线技术未经授权访问系统的可能性。无线网络使用提供凭据保护和相互身份验证的身份验证协议。[SP讨论组织对个人和设备进行身份验证，以帮助保护对系统的无线访问。特别关注作为物联网一部分的各种设备，这些设备具有对组织系统的潜在无线访问能力。请参阅[NIST加密]。讨论（）（）（（）CUI[SP800‑124]提供有关移动设备安全的指南。的CUI。 23讨论CUI的机密性[NIST讨论（）。23移动设备和计算平台包括智能手机和平板电脑等。如果无法与外部系统所有者建立条款和条件，组织可能会对使用这些外部系统的组织人员施加限制。（部CUICUICUICUICUI部”。讨论在外部系统中使用组织控制的便携式存储设备的限制包括CUI保护CUICUICUI部”。CUI。讨论（CUI）指定有权将CUI发布到公共访问系统的个人。信息内容在发布到公共访问系统之前会经过审查，以确保不包含非公开信息。基本安全要求讨论事件。[SP800‑50]提供有关安全意识和培训计划的指导。讨论[SP800‑181]提供有关工作场所基于角色的信息安全培训的指南。[SP800‑161]提供供应链风险管理指南。衍生的安全要求威胁。讨论（例如，对经理的培训可能侧重于团队成员行为的具体变化，而对员工的培训可能侧重于更一般的观察）。基本安全要求监视、分析、调查和报告非法或未经授权的系统活动。讨论CUI（（）。[SP800‑92]提供安全日志管理指南。讨论(VoIP衍生的安全要求讨论讨论（）（讨论讨论(UTC)表示(GMTUTC（[IETF5905]。删除。讨论（）该要求规定在审计相关权限和其他权限之间进一步定义特权访问，从而限制具有审计相关权限的用户。基本安全要求（）。（）构。（例[SP800‑128]提供有关以安全为中心的配置管理的指南。讨论配置设置是可以在系统的硬件、软件或固件组件中更改的一组参数，这些参数会影响系统的安全状况或功能。（）（器）、操作系统、中间件和应用程序。（[SP800‑70]和[SP800‑128]提供有关安全配置设置的指南。衍生的安全要求/（[SP800‑128]提供有关配置更改控制的指南。讨论（[SP800‑128]提供有关配置更改控制和安全影响分析的指南。讨论（改（）[SP800‑128]提供有关配置更改控制的指南。讨论（讨论（蓝牙、文件传输协议(FTP)和对等网络是组织考虑阻止使用、限制或禁用的协议示例。（（讨论[SP800‑167]提供有关应用程序白名单的指南。讨论基本安全要求讨论(MAC)(IP[SP800‑63‑3]提供有关数字身份的指导。（讨论（[SP800‑63‑3]提供有关数字身份的指南。衍生的安全要求

2425（码（）（）（时（（（）。4（码（）（例）(PIV(CAC（（（（（[SP800‑63‑3]提供有关数字身份的指导。[SP800‑63‑3]提供有关数字身份的指南。讨论（3.5.1）讨论创建的。讨论讨论密码有效期限制不适用于临时密码。讨论系统登录后立即将临时密码更改为永久密码可确保尽早实施身份验证机制的必要强度，从而降低身份验证器受到损害的可能性。讨论受加密保护的密码使用密码的加盐单向加密哈希。请参阅[NIST加密]。讨论（基本安全要求讨论组织认识到事件处理能力取决于组织系统的能力以及这些系统支持的任务/业务流程。//[SP800‑61]提供事件处理指南。[SP800‑86]和[SP800‑101]提供了将取证技术整合到事件响应中的指导。[SP800‑161]提供供应链风险管理指南。讨论[SP800‑61]提供事件处理指南。衍生的安全要求讨论（（）[SP800‑84]提供了有关信息技术能力测试计划的指南。基本安全要求26讨论（讨论CUI26一般来说，系统维护要求倾向于支持可用性的安全目标。然而，系统维护不当或未能执行维护可能会导致未经授权的CUI泄露，从而损害该信息的机密性。衍生的安全要求CUI。讨论（（）。[SP800‑88]提供有关介质清理的指南。用于组织系统。讨论如果在检查包含维护诊断和测试程序的介质后，组织确定该介质包含恶意代码，则将根据事件处理策略和程序来处理该事件。网络连接，并在非本地维护完成时终止此类连接。讨论3.5.3讨论（临时凭证可以一次性使用，也可以在非常有限的时间内使用。基本安全要求（CUI和数字。讨论CUI的访问[SP800‑111]提供有关最终用户设备存储加密技术的指南。CUI讨论CUI讨论（）（组织确定适当的消毒方法，认识到当其他方法无法应用于需要消毒的介质时，可能需要销毁。NARA[SP800‑88]提供有关介质清理的指南。衍生的安全要求CUI27[奈CUI讨论受控区域是组织提供物理或程序控制以满足为保护系统和信息而建立的要求的区域或空间。控制为了在运输过程中保持对媒体的责任，包括锁定容器和加密技术。CUI运输过程中的介质，除非另有其他物理防护措施的保护。讨论（B）[SP800‑111]提供有关最终用户设备存储加密技术的指南。讨论（2RA])（”x和F（”xIBvFN。FN基于设备类型的存储设备，禁止使用可写的便携式设备，并通过禁用或删除写入此类设备的功能来实现此限制。讨论（（CUI讨论基本安全要求CUI（CUI（度活动反映了适用的联邦法律、行政命令、指令、政策、法规以及为指定职位所需的访问级别制定的具体标准。CUI终止和转移等行动。讨论CUI（无CUI（）衍生的安全要求没有任何。基本安全要求讨论讨论支持基础设施的物理访问控制包括上锁的配线间；备用插孔断开或锁定；通过导管或电缆桥架保护电缆；和窃听传感器。衍生的安全要求讨论讨论（）（（讨论物理访问设备包括钥匙、锁、密码和读卡器。CUI讨论替代工作地点可能包括政府设施或员工的私人住宅。[SP800‑46]和[SP800‑114]提供有关远程办公时企业和用户安全的指南。基本安全要求（声誉）、组织资产和个人，由组织系统的运行以及CUI的相关处理、存储或传输产生。讨论（[SP800‑30]提供了进行风险评估的指导。衍生的安全要求讨论（(SCAP(CVE(OVAL(CWE（(CVSS[SP800‑40]提供漏洞管理指南。3.11.3根据风险评估修复漏洞。讨论3.11.2基本安全要求讨论[SP800‑53]提供有关系统和组织的安全和隐私控制的指南。[SP800‑53A]提供有关制定安全评估计划和进行评估的指导。讨论输T1讨论通过报告或仪表板持续访问安全信息，使组织官员能够做出有效且及时的风险管理决策。监测要求，包括特定监测的需要，也可以在其他要求中引用。[SP800‑137]提供了持续监测的指导。边界、系统运行环境、安全要求如何实现以及与其他系统的关系或连接。28讨论28系统安全计划没有规定的格式或规定的详细程度。然而，组织确保在这些计划中传达3.12.4中所需的信息。（）（），建立的管理/运营领域中维护与安全相关的信息。输[SP[NIST800‑171衍生的安全要求没有任何。基本安全要求（）。讨论（）WebWeb[SP800‑41]提供有关防火墙和防火墙策略的指导。[SP800‑125B]提供虚拟化技术安全指南。组织将系统安全工程原理应用于新开发的系统或正在进行重大升级的系统。对于遗留系统，组织应用系统安全性胁建模来识别用例、威胁代理、攻击向量和模式、设计模式以及降低风险所需的补偿控制。[SP800‑160‑1]提供系统安全工程指南。衍生的安全要求讨论（）Web管理讨论（（（（）逻辑上与内部网络分离。讨论(DMZ)。DMZ[SP800‑41]提供有关防火墙和防火墙策略的指导。[SP800‑125B]提供虚拟化技术安全指南。例外（即拒绝所有、例外允许）。讨论组织系统并通过其他连接与外部网络中的资源进行通信（即分割隧道）。讨论（（（）CUI讨论（（PDS）会话或一段指定的不活动时间后。讨论此要求适用于内部和外部网络。终止与通信会话关联的网络连接包括取消分配关联的TCP/IP地址或端口系统。讨论[SP800‑56A]和[SP800‑57‑1]提供有关加密密钥管理和密钥建立的指导。CUIFIPS讨论FIPS或NSA批准T密]；TT29讨论协作计算设备包括联网白板、摄像头和麦克风。使用指示包括当协作计算设备被激活时向用户发出的信号。专用视频会议系统不包括在内，该系统依靠参与者之一呼叫或连接到另一方来激活视频会议。讨论JavaJavaScriptActiveXPostscriptPDFFlash动画和VBScript（29不包括依赖参与者之一呼叫或连接另一方来激活视频会议的专用视频会议系统。[SP800‑28]提供有关移动代码的指南。（VoIP（P(ISDN(FDDI)。POTS和非POTSVoIPVoIPVoIP面临的威胁与任何基于互联网的应用程序固有的威胁类似。[SP800‑58]提供有关IP语音系统的指南。讨论（）[SP800‑77]、[SP800‑95]和[SP800‑113]提供有关安全通信会话的指南。CUI讨论[NIST基本安全要求讨论点”枚举(CWE)数据库或常见漏洞和暴露(CVE)数据库用于修复组织系统中发现的缺陷。（）[SP800‑40]提供有关补丁管理技术的指南。讨论Web（/[SP800‑83]提供有关恶意软件事件预防的指南。(CISA织的态势感知。软件供应商、订阅服务和（ISAC务[SP衍生的安全要求讨论/讨论（讨论（（（）系统监控是持续监控和事件响应计划的组成部分。（（系统或系统组件。系统监控要求，包括对特定类型系统监控的需求，可以在其他需求中引用。[SP800‑94]提供有关入侵检测和预防系统的指南。（）响应计划。[SP800‑94]提供有关入侵检测和预防系统的指南。PP2附录A第附录A第44页A法律、行政命令、法规、指令、标准和指南30法律和行政命令[原子54]

L4年8月。/app/details/STATUTE‑68/STATUTE‑68‑Pg919

5C§10.6/app/details/PLAW‑104publ231] L4年2月。/app/details/PLAW‑113publ2830C]022017III‑chap113‑subchapIII‑sec113314C]427/app/details/USCODE‑2017‑title44/USCODE‑2017‑title44‑第35章‑子章‑sec35024C]427/app/details/USCODE‑2017‑title44/USCODE‑2017‑title44‑chap35‑subchapII‑sec3552[44USC3554]美国法典第44章，第2节第3554章，联邦机构的责任。2017年编辑。/app/details/USCODE‑2017‑title44/USCODE‑2017‑title44‑chap35‑subchapII‑sec3554] 令6)息。（宫区）DCPD‑2009010229年2月9日。/app/details/DCPD‑200901022] 令6)息。（宫区）DCPD‑2010009420年1月4日。/app/details/DCPD‑201000942政策、法规、指令和指示[322002

32CFRPart2002，受控非机密信息，2016年9月。/app/details/CFR‑2017‑title32‑vol6/CFR‑2017‑title32‑2002年第6卷/摘要30本节中没有具体出版日期或修订号的参考文献假定指的是这些出版物的最新更新。[OMB

)（）6年7月。[CNSSI

/sites//files/omb/circulars/A130/a130修订版.pdf国家安全系统委员会(2015)国家安全系统委员会(CNSS)术语表。（国家安全局，乔治堡））S/CNSS/issuances/Instructions.cfm标准、指南和报告O] 织（2013（）C[FIPS

/standard/54534.html美国国家标准与技术研究所(2004)联邦信息和信息系统安全分类标准。（）)[FIPS

/10.6028/NIST.FIPS.199美国国家标准与技术研究院(2006)联邦信息和信息系统的最低安全要求。（我们）)[SP

/10.6028/NIST.FIPS.200SwansonMAHashJBowenP(2006（T)/10.6028/NIST.SP.800‑18r1[SP800‑28] JansenWWinogradTScarfoneKA(2008（）T)2版。[SP

/10.6028/NIST.SP.800‑28ver2(2012（T)/10.6028/NIST.SP.800‑30r1[SP800‑39] (2011（）T)[SP

/10.6028/NIST.SP.800‑39aMPeA)（）T)[SP

/10.6028/NIST.SP.800‑40r3ScarfoneKAHoffmanP(2009（）T)[SP

/10.6028/NIST.SP.800‑41r1aMPeA))（）T[SP

/10.6028/NIST.SP.800‑46r2WilsonM,HashJ(2003（）T)[SP

/10.6028/NIST.SP.800‑50(2013（）T)122[SP800‑53A]

/10.6028/NIST.SP.800‑53r4联合工作组转型计划(2014)评估联邦信息系统和组织的安全和隐私控制：制定有效的评估（）T)[SP

4、包括截至2014年12月18日的更新。/10.6028/NIST.SP.800‑53Ar4（T)[SP800‑56A]

[即将推出]。BarkerEBChenLRoginskyAVassilevADavisR(2018（）T)/10.6028/NIST.SP.800‑56Ar3[SP800‑57‑1][SP800‑58]

BarkerEB(2016)密钥管理建议，第1部分：概述。（）T)7第14。/10.6028/NIST.SP.800‑57pt1r4KuhnRWalshTJFriesS(2005IP（）T)[SP800‑60‑1]

/10.6028/NIST.SP.800‑58StineKMKisselRLBarkerWCFahlsingJGulickJ(2008（）T)[SP800‑60‑2]

/10.6028/NIST.SP.800‑60v1r1StineKMKisselRLBarkerWCLeeAFahlsingJ(2008（）T)[SP800‑61][SP800‑63‑3][SP800‑70]

/10.6028/NIST.SP.800‑60v2r1CichonskiPRMillarTGranceTScarfoneKA(2012（国）T)/10.6028/NIST.SP.800‑61r2GrassiPAGarciaMEFentonJL(2017（）T)7年2月1/10.6028/NIST.SP.800‑63‑3QuinnSDSouppayaMPCookMRScarfoneKA(2018IT（）T)[SP[SP

/10.6028/NIST.SP.800‑70r4FrankelSEKentKLewkowskiROrebaughADRitcheyRWSharmaSR(2005)cN（）T(SP800‑77。/10.6028/NIST.SP.800‑77SouppayaMPScarfoneKA(2013（）T)/10.6028/NIST.SP.800‑83r1[SP

GranceTNolanTBurkeKDudleyRWhiteGGoodT(2006IT（）T(SP)800‑84。[SP

/10.6028/NIST.SP.800‑84KentKChevalierSGranceTDangH(2006（美）T)[SP

/10.6028/NIST.SP.800‑86KisselRLRegenscheidARSchollMAStineKM(2014（）T)/10.6028/NIST.SP.800‑88r1P] taMP)（）T)[SP

/10.6028/NIST.SP.800‑92ScarfoneKAMellPM(2007(IDPS（）T)[SP

/10.6028/NIST.SP.800‑94SinghalAWinogradTScarfoneKA(2007Web（）T)[SP

/10.6028/NIST.SP.800‑95ltseA)Ei（）T)[SP[SP

/10.6028/NIST.SP.800‑97AyersRPBrothersSJansenW(2014（）T)/10.6028/NIST.SP.800‑101r1ScarfoneKASouppayaMPSextonM(2007（）T)[SP

/10.6028/NIST.SP.800‑111FrankelSEHoffmanPOrebaughADParkR(2008SSLVPN（）T)/10.6028/NIST.SP.800‑113[SP

aMPeA))（）T)[SP

/10.6028/NIST.SP.800‑114r1aMPeA)（）T特)/10.6028/NIST.SP.800‑124r1[SP800‑125B]ChandramouliR(2016)虚拟机的安全虚拟网络配置)（）T800‑125B。/10.6028/NIST.SP.800‑125B[SP

JohnsonLADempseyKLRossRSGuptaSBaileyD(2011（）T)[SP

/10.6028/NIST.SP.800‑128DempseyKLChawlaNSJohnsonLAJohnstonRJonesACOrebaughADSchollMA、StineKM(2011(ISCM)（）T)/10.6028/NIST.SP.800‑137[SP800‑160‑1RossRSOrenJCMcEvilleyM(2016（），T)[SP

8年3月1/10.6028/NIST.SP.800‑160v1BoyensJMPaulsenCMoorthyRBartolN(2015（）T)[SP

/10.6028/NIST.SP.800‑161SedgewickASouppayaMPScarfoneKA(2015（）T)/10.6028/NIST.SP.800‑167[SP800‑171ARossRSDempseyKLPillitteriVY(2018（）T800‑171A。/10.6028/NIST.SP.800‑171A[SP

NewhouseWDWitteGAScribnerBKeithS(2017(NICE（）T)/10.6028/NIST.SP.800‑181其他出版物和网站[IETF

MillsDMartin（）khW)（）F)/10.17487/RFC5905[崔] 局息(CUI)处。/cui[NARAMARK]国家档案和记录管理局(2016)标记受控非机密信息，版本1.1。（国家档案馆，华盛顿特区）。/files/cui/20161206‑cui‑marking‑handbook‑v1‑1.pdfI[NIST

/files/cui/documents/20190222‑cui‑notice‑2019‑01‑封面标签.pdf美国国家标准与技术研究所(2019)密码算法验证计划。[NIST

/projects/cavp（2019/projects/cmvp[NISTCRYPTO]美国国家标准与技术研究院(2019)密码标准和指南。/projects/cryptography‑standards‑and‑guidelines崔]

(20181.1。（）。/10.6028/NIST.CSWP.04162018美国国家标准与技术研究所(2019)特别出版物800‑171出版物和支持资源。/publications/detail/sp/800‑171/rev‑1/finalPP2附录B附录BPAGE51页附录B词汇表常用术语和定义A附录B提供了特别出版物中使用的安全术语的定义A800‑171。除非本术语表中明确定义，否则本出版物中使用的所有术语均与[CNSSI4009]国家信息保障术语表中包含的定义一致。机构[OMBA‑130]

评估评估员

请参阅安全控制评估。请参阅安全控制评估员。按时间顺序排列的系统活动记录，包括给定时间段内执行的系统访问和操作的记录。审计记录验证S编]

审核日志中与审核事件相关的单个条目。验证用户、进程或设备的身份，通常作为允许访问系统中的资源的先决条件。性 时息。[44南加州大学3552]高级持续威胁[SP800‑39]

（IT动水平执行其目标。

保密[443552]配置管理配置设置控制区受控非机密信息[行政命令13556]崔类别[322002崔执行代理[322002崔程序[322002两方同时互相验证。也称为相互身份验证或双向身份验证。用于识别未经授权在系统上执行的软件程序或禁止的统一资源定位器(URL)/网站的过程。保留对信息访问和披露的授权限制，包括保护个人隐私和专有信息的手段。1229135261954年，法律、法规或政府范围内的政策要求或允许各机构实施保护或传CUICUII13556NARA息安全监督办公室(ISOO)主任。CUI1355632CFRPart2002CUI处制定的CUI规则、组织和程序。CUI注册表[32CUI注册表[322002双重授权I编]执行机构[OMBA‑130]（）联邦信息系统[40USC11331]CUICUI2Rt2I类别通过集成物理和逻辑设计功能的交互数字、模拟、物理和人体组件。该存储和处理系统旨在通过要求至少两个授权人员在场并采取行动来禁止个5USCSec1015USCSec1025USCc1C第章的规定。在组织系统的授权边界之外实现的系统服务（即由组织系统使用但不）通过各种消费者‑生产者关系向组织提供外部系统服务的提供商，包括：（）和不受组织控制的网络。参见执行机构。由执行机构、执行机构的承包商或代表执行机构的其他组织使用或操作的信息系统。经过FIPS验证密码学

(CMVPFIPS出版物CMVP(CAVPNSA固件[CNSSI4009]

（ROM（PROM中硬件[CNSSI4009]标识符

系统的物质物理组件。请参阅软件和固件。用于表示一个人的身份和相关属性的唯一数据。姓名或卡号是标识符的示例。系统用来指示特定实体、对象或组的唯一标签。响 言性营产人他（益响言份信息时个人可能会经历的不利影响。影响值[FIPS199]

事件[443552]

信息[OMBA‑130]

（信息资源[44南加州大学3502]

不违反安全政策。信息及相关资源，如人员、设备、资金、信息技术等。信息安全[44信息安全[443552]信息系统[443502]信息技术[OMBA‑130]正直[443552]在提供服务或提供产品中的使用。信息技术包括计算机、辅助设备（包括）（使用。威胁内部人员将有意或无意地利用其授权访问权限危害美国的安全。这种威胁可能防止信息被不当修改或破坏，包括确保信息的不可否认性和真实性。（）本地访问本地访问媒体[FIPS200]手机代码相互认证[CNSSI4009]非联邦组织非联邦制网络设计安全架构的原则是，向每个实体授予该实体执行其功能所需的最低系统授权和资源。（(LSI（（）动电子阅读器。（）（）（）参与交易的两个实体相互验证的过程。请参阅双向身份验证。拥有、运营或维护非联邦系统的实体。不符合联邦系统标准的系统。异地维护异地维护代表（）[32美国联邦法规2002年]组织S编]人员安全[SP800‑53]潜在影响[FIPS199]记录远程访问（（（（(i(ii组织结构中任何规模、复杂性或定位的实体。（）（）。（FIPSPublication199low）（FIPS199）；（FIPS出版物199高）。具有特权用户授权的系统帐户。（（（或）（即，）。（（重播阻力重播阻力风险[OMBA‑130]风险评估[SP800‑30]消毒安全[CNSSI4009][OMBA‑130]安全控制评估[OMBA‑130]安全域I编]安全功能（(i(ii发生。（）为使写入在介质上的数据无法通过普通和某些形式的清理、非常规恢复而采取的操作方法。由于建立和维护保护措施而导致的情况，这些措施使组织能够执行其任请参阅安全控制评估。实施安全策略并由单一机构管理的域。分裂隧道系统分裂隧道系统系统组件[SP800‑128]系统服务威胁[SP800‑30]无线技术外部网络。这种网络访问方法使用户能够在访问不受控制的网络的同时访问远程设备（例如网络打印机）。参见信息系统。描述组织如何满足系统安全要求或组织计划如何满足要求的文档。特别是，系统系统提供的促进信息的能力处理、存储或传输。（用于识别被授权在系统或授权的统一资源定位器(URL)/网站上执行的软件程序的过程。（）802.11xPP2附录C第附录C第60页缩写词常用缩写病死率崔FISMA物联网ISOO它奈良SP网络电话

联邦法规国家安全系统委员会受控非机密信息联邦采购法规联邦信息处理标准联邦信息安全现代化法案物联网互联网协议国际标准化组织/国际电工技术组织委员会信息安全监察室信息技术信息技术实验室美国国家标准技术研究院管理和预算办公室特别刊物互联网协议语音PP2附录D附录DPAGE71页附录D映射表将基本和派生的安全要求映射到安全控制D‑1到D‑14提供了基本和派生安全要求的映射[SPCUI[ISO27001星号(*)表示ISO/IEC控制不完全满足NISTNISTCUI[NIST[SP[ISONIST或ISO/IEC表D‑1到D‑14TPT5表D‑1：将访问控制要求映射到控制安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制交流‑2帐户管理交流‑2帐户管理A.9.2.1A.9.2.2用户注册和注销用户访问A.9.2.3供应A.9.2.5用户评价A.9.2.6调整访问权限AC‑3访问执行A.6.2.2A.9.1.2远程办公访问网络和网络服务A.9.4.1信息获取限制A.9.4.4使用特权实用程序A.9.4.5访问控制程序源代码（执行。A.13.1.1网络控制A.14.1.2保护公共网络上的应用服务A.14.1.3

保护应用程序服务事务AC‑17

A.18.1.3

A.13.1.1网络控制A.13.2.1 A.14.1.2保护公共网络上的应用服务衍生的安全要求3.1.3控制CUI的流程

交流‑4

信息流执行

A.13.1.3网络中的隔离政策与程序安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制A.14.1.2保护公共网络上的应用服务A.14.1.3

保护应用程序服务事务3.1.4

交流‑5

职责分离

A.6.1.2

职责分离没有共谋的恶意活动。

AC‑6

最低权限

访问网络和网络服务特权访问权限的管理A.9.4.4

使用特权实用程序A.9.4.5 AC‑6(1)最低权限没有直接映射。授权访问安全性功能AC‑6(5)最低权限没有直接映射。特权账户3.1.6访问非安全功能时使用非特权帐户或角色。AC‑6(2)最低权限没有直接映射。非特权访问非安全函数3.1.7防止非特权用户执行特权函数并捕获此类函数AC‑6(9)最低权限没有直接映射。的执行情况记录特权的使用功能

AC‑6(10)最低权限

没有直接映射。尝试。

登录失败尝试

适用的CUI规则。

AC‑11

会话锁定

屏幕政策AC‑11(1)会话锁定

没有直接映射。（

AC‑12

会话终止

没有直接映射。访问会话。

AC‑17(1)远程访问自动监控/控制

没有直接映射。安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制

AC‑17(2)远程访问保密保护/

没有直接映射。受管理的访问控制点。

AC‑17(3)远程访问

没有直接映射。

AC‑17(4)远程访问特权命令/使用权

没有直接映射。在允许此类连接之前。

AC‑18

无线接入

A.6.2.1A.13.1.1A.13.2.1

移动设备政策信息传递政策与程序

AC‑18(1)无线接入身份验证和加密

没有直接映射。

AC‑19

访问控制

A.6.2.1

移动设备政策设备。

移动设备

A.11.2.6场外设备和资产的安全A.13.2.1 的CUI。

AC‑19(5)移动设备的访问控制/

没有直接映射。/使用。

AC‑20

外部系统的使用A.11.2.6场外设备和资产的安全A.13.1.1网络控制A.13.2.1

信息传递政策与程序

AC‑20(1)外部系统的使用AC‑20(2)外部系统的使用便携式存储设备

没有直接映射。没有直接映射。

AC‑22

公开访问内容

没有直接映射。表D‑2安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制3.2意识和培训基本安全要求3.2.1确保组织系统的管理者、系统管理员和用户了解与其活动相关的安全风险以及AT‑2安全意识训练A.7.2.2信息安全A.12.2.1针对恶意软件的控制

AT‑3

训练

A.7.2.2*

信息安全意识、教育和培训衍生的安全要求3.2.3衍生的安全要求3.2.3提供有关识别和报告内部威胁潜在指标的安AT‑2(2)安全意识全意识培训。训练内部威胁表D‑3安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求AU‑2事件记录没有直接映射。和记录，以确保监控、分析、调查和报告非法或AU‑3审核内容记录A.12.4.1*事件记录为 AU‑3(1)容 射。系统活动。记录额外审核3.3.2确保以下人员的行动信息单个系统用户可以被唯一地追踪到这些AU‑6审计记录审查，A.12.4.1事件记录

A.16.1.2

报告信息安全事件行动。

AU‑11

A.12.4.1

A.16.1.4A.12.4.3

AU‑12

A.12.4.1事件记录代

收集证据衍生的安全要求事件。

AU‑2(3)AU‑5

事件记录回顾和更新对审计的回应记录进程失败

没有直接映射。没有直接映射。

AU‑6(3)

审计记录审查，分析和报告关联审核记录存储库

没有直接映射。

AU‑7

没有直接映射。

AU‑8

时间戳

A.12.4.4

时钟同步

AU‑8(1

同步于

没有直接映射。

AU‑9

审计保护信息

A.12.4.2

日志信息保护安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制

AU‑9(4)护 射。子集。信息按子集访问特权用户表D‑4：将配置管理要求映射到控件32安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制3.4配置管理基本安全要求3.4.1在整个系统开发生命周期中建立并维CM‑2基线配置没有直接映射。护组织系统的基线配置和清单（包括硬CM‑6配置设置没有直接映射。）

CM‑8

3.4.2制定和执行

CM‑8(1)系统组件存货期间更新安装/拆除

没有直接映射。衍生的安全要求CM‑3配置变更控制A.12.1.2变更管理A.14.2.2系统变更控制程序A.14.2.3 A.14.2.4 3.4.4在实施之前分析变更的安全影响。CM‑4安全影响分析A.14.2.3 CM‑5访问限制改变A.9.2.3 A.9.4.5 程序源代码A.12.1.2变更管理A.12.1.4

A.12.5.1 在操作系统上I（)T安全要求3.4.6采用最少原则能来实现功能。

CM‑7

NISTSP800‑53相关安全控制最少的功能

ISO/IEC27001相关安全控制A.12.5.1*软件安装在操作系统上

CM‑7(1)最少功能定期审查CM‑7(2)最少功能阻止程序执行

没有直接映射。没有直接映射。（（策略来允许执行授权软件。

CM‑7(4)最少功能未经授权的软件/列入黑名单CM‑7(5)最少功能授权软件/白名单

安装的软件。

CM‑11

A.12.5.1

A.12.6.2

软件安装在操作系统上限制软件安装表D‑5安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求设备。

IA‑2

识别和验证（组织用户）

A.9.2.1

用户注册和注销（

IA‑3

设备识别和验证

没有直接映射。决条件。

IA‑5

验证器管理

A.9.2.1

用户注册和注销A.9.2.4 用户信息A.9.3.1 验证信息A.9.4.3 管理系统衍生的安全要求3.5.3使用多因素本地和的身份验证IA‑2(1)识别和验证没有直接映射。特权帐户的网络访问和非特权帐户的网络访（组织用户）问。网络访问特权账户IA‑2(2)识别和没有直接映射。验证（组织用户）网络访问非特权账户IA‑2(3)识别和没有直接映射。验证（组织用户）本地访问特权账户3.5.4对特权和非特权帐户的网络访问采用抗重放IA‑2(8)识别和没有直接映射。身份验证机制。验证（组织用户）网络访问特权帐户‑重播抵抗的IA‑2(9)识别和没有直接映射。验证（组织用户）网络访问非特权帐户‑重播抵抗的NIST800‑53CUI安全要求在规定的时间内。定义的不活动期。密码已创建。

IA‑4IA‑4

NISTSP800‑53相关安全控制管理基于密码验证

ISO/IEC27001相关安全控制用户注册和注销用户注册和注销没有直接映射。

IA‑6

A.9.4.2

安全登录程序表D‑6：将事件响应要求映射到控制措施安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求

事件响应训练

A.7.2.2*

信息安全意识、教育和培训报

IR‑4

事件处理

决定于信息安全事件告事件/该组织。

从信息安全事件中吸取教训IR‑5

没有直接映射。IR‑6

A.6.1.3A.16.1.2

联系方式当局报告信息安全IR‑7

事件没有直接映射。

IR‑3

事件响应测试

没有直接映射。表D‑7：将维护要求映射到控制措施安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求

MA‑2

*维护

MA‑3

维修工具

*没有直接映射。衍生的安全要求

MA‑3(1)维护工具检查工具MA‑3(2)维护工具检查介质

MA‑2

*维护已清除任何CUI。代码

MA‑3(2)维护工具检查介质

*没有直接映射。异地维护通过外部会话

MA‑4MA‑5

非本地维护无直接映射。维护人员无直接映射。表D‑8：将介质保护要求映射到控制措施34安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求（含

MP‑2

媒体访问

A.8.2.3

资产处理CUI

A.8.3.1可移动介质的管理A.11.2.9CUI

MP‑4

媒体存储

A.8.2.3

资产处理A.8.3.1可移动介质的管理CUI

A.11.2.9MP‑6

A.8.2.3

资产处理A.8.3.1可移动介质的管理A.8.3.2

介质的处置A.11.2.7设备的安全处置或再利用衍生的安全要求3.8.4将媒体标记为CUI

MP‑3

媒体标记

A.8.2.2

信息标签

MP‑5

媒体传输

A.8.2.3

资产处理遏制CUI并在控制区域外

A.8.3.1可移动介质的管理A.8.3.3

物理媒体传输CUI护。

MP‑5(4)

媒体传输加密保护

没有直接映射。可移动媒体上

MP‑7

媒体使用

A.8.2.3

资产处理系统组件。

A.8.3.1可移动介质的管理CP‑9（安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制3.8.8禁止使用MP‑7(1)媒体使用没有直接映射。便携式存储设备，当此类设备具有禁止使用无所有者没有可识别的所有者。3.8.9保护CP‑9系统备份A.12.3.1信息备份CUI

A.17.1.2实现信息安全连续性A.18.1.3记录保护表D‑9：将人员安全要求映射到控制措施安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制3.9人员安全基本安全要求CUIPS‑3PS‑4人员筛选人员终止A.7.3.1A.7.1.1筛选CUI

PS‑5

人员调动

资产返还终止或变更雇佣责任

没有任何。

A.8.1.4

资产返还表D‑10：将物理保护要求映射到控制措施安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求

PE‑2

物理访问授权

A.11.1.2*物理进入控制PE‑4访问控制A.11.1.2物理进入控制PE‑4访问控制A.11.1.2物理进入控制传输介质A.11.2.3布线安全PE‑5访问控制A.11.1.2物理进入控制输出设备A.11.1.3有形设施和支持基础设施组织系统。

PE‑6

使用权

没有直接映射。3.10.4维护物理访问的审核日志。

PE‑3

A.11.1.2

物理安全边界物理进入控制

PE‑17

点

远程办公场外设备和资产的安全信息传输政策和程序表D‑11安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制定期评估组织系统和相关系统的运行对组（）、RA‑3风险评估A.12.6.1*管理技术漏洞组织资产和个人造成的风险CUI的处理、存储或传输。衍生的安全要求3.11.2扫描漏洞RA‑5漏洞扫描A.12.6.1*管理定期组织系统和应用程序以及出现新漏技术漏洞洞时序 RA‑5(5) 描 射。的情况。特权访问3.11.3修复漏洞RA‑5漏洞扫描A.12.6.1*管理根据风险技术漏洞评估。表D‑12：将安全评估要求映射到控制措施安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求

CA‑2

安全评估

系统安全测试遵守安全政策和标准应用。

A.18.2.3

技术合规性审查减少或消除

行动计划和里程碑

没有直接映射。中的漏洞组织系统。效

PL‑2

划

信息安全协调的控制。系统。

没有任何。表D‑13：将系统和通信保护要求映射到控制35安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求（）

边界保护

A.13.1.1网络控制A.13.1.3

网络中的隔离

A.13.2.1

信息传输政策和程序A.14.1.3

保护应用程序服务事务

SA‑8

安全工程原则

A.14.2.5安全系统工程原则衍生的安全要求

SC‑2

应用程序分区无直接映射。3.13.4防止未经授权和SC‑4共享信息没有直接映射。非预期信息资源通过共享系统传输资源。3.13.5为可公开访问的系统组件实施与内部网络物SC‑7边界保护A.13.1.1网络控制

网络中的隔离信息传输政策和程序A.14.1.3

保护应用程序服务事务（许）。

SC‑7(5)边界防护默认拒绝/允许例外

没有直接映射。SA‑8（安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制同时建立非远程连接

SC‑7(7)边界防护防止分割隧道远程设备

没有直接映射。外部网络（即分割隧道）。

SC‑8

A.8.2.3

资产处理

保密和

A.13.1.1网络控制措施进行保护。

直

信息传输政策和程序

电子信息A.14.1.3

保护应用程序服务事务SC‑8(1)变速箱保密和正直

没有直接映射。后。

SC‑10

网络断开

A.13.1.1网络控制钥。

SC‑12

密钥设立及管理

A.10.1.2

密钥管理CUIFIPS验证的加密技术。

SC‑13

密码学保护

使用加密控制的政策A.14.1.3

保护应用程序服务事务A.3.12禁止远程激活SC‑15协作性A.13.2.1*信息传输计算设备政策与程序发送给设备旁的用户。3.13.13控制和监控移动代码的使用。SC‑18手机代码没有直接映射。安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制3.13.14控制和监控使用SC‑19互联网语音没有直接映射。互联网语音(VoIPSC‑23协议会话真实性没有直接映射。

SC‑28

保护静态信息

资产处理表D‑14：将系统和信息完整性要求映射到控制安全要求

NISTSP800‑53相关安全控制

ISO/IEC27001相关安全控制基本安全要求陷

SI‑2

缺陷修复

A.12.6.1

技术漏洞方式。操作平台变更后的应用

SI‑3

A.16.1.3

报告信息安全弱点针对恶意软件的控制SI‑5

与特殊利益群体的联系衍生的安全要求

SI‑3

A.12.2.1

针对恶意软件的控制可用的。外部源作为文件下载、打开或执行。

SI‑4 SI‑4(4)系统监控入境和出境通讯流量

没有直接映射。没有直接映射。

SI‑4

系统监控

没有直接映射。PP2附录E第附录E第85页附录E剪裁标准中等安全控制基线和定制行动清单他的附录提供了[SP800‑53]中的安全控制列表[FIPSCUI

36中等基线，E‑1E‑17NISTNARACUI派生安全要求的开发，这些安全要求补充了基本安全要求。

37主要有以下三个（）；或39表E‑1至表E‑17中使用表E中的以下符号来指定所采取的剪裁操作或不需要剪裁操作时的情况。表剪裁剪裁标准象征崔

CUI预计通常会得到非联邦组织的满意，但没有具体说明。CUI基本或派生安全要求反映在安全控制、控制增强或控制/增强的特定元素中，并且可追溯至安全控制、控制增强或控制/增强的特定元素。表1到4TPT特537同样的定制标准适用于[FIPS200]中的安全要求，从而产生了第三章中描述的CUI基本安全要求。CUI[SP39根据适度基线定制的安全控制措施（即专门标记为NCO或NFO的控制措施）1至7）表NISTSP800‑53剪裁适度的基线安全控制行动交流‑1访问控制政策和程序交流‑2帐户管理崔AC‑2(1)账户管理|自动化系统账户管理AC‑2(2)账户管理|删除临时/紧急账户AC‑2(3)账户管理|禁用不活动帐户AC‑2(4)账户管理|自动审计操作AC‑3访问执行崔交流‑4信息流执行崔交流‑5职责分离崔AC‑6最低权限崔AC‑6(1)最低权限|授权访问安全功能崔AC‑6(2)最低权限|非安全功能的非特权访问崔AC‑6(5)最低权限|特权帐户崔AC‑6(9)最低权限|审计特权功能的使用崔限能 崔AC‑7AC‑8AC‑11

败 崔知 崔定 崔定示 崔AC‑12AC‑14AC‑17

崔崔问测/制 崔问性性 崔问点 崔问令/问 崔AC‑18

入 崔入密 崔AC‑19

制 崔制备密 崔AC‑20

用 崔AC‑21

崔崔

容 崔PP2附录E第附录E第87页表NISTSP800‑53 制 动AT‑1AT‑2安全意识和培训政策和程序安全意识培训崔AT‑2(2)安全意识|内部威胁崔AT‑3基于角色的安全培训崔AT‑4安全培训记录表NISTSP800‑53 制 动AU‑4AU‑5AU‑6AU‑7AU‑7(1)AU‑8AU‑8(1)AU‑9AU‑9(4)AU‑11AU‑12

审计活动|评论和更新审计记录的内容审计记录的内容|额外的审计信息审计存储容量审计审查、分析和报告|流程整合审计减少和报告生成减少审计和生成报告|自动加工时间戳时间戳|与权威时间源同步审计信息的保护审计记录保留审计生成

崔崔崔崔崔崔崔崔崔崔崔崔崔表NISTSP800‑53 制 动CA‑3CA‑5CA‑6CA‑7CA‑7(1)CA‑9

安全评估|独立评估员系统互连持续监控|独立评估内部系统连接

崔崔崔表NISTSP800‑53 制 动CM‑1配置管理政策和程序CM‑2基线配置崔CM‑2(1)基线配置|评论和更新CM‑2(3)基线配置|保留以前的配置CM‑2(7)基线配置|为高风险区域配置系统、组件或设备CM‑3配置变更控制崔CM‑3(2)配置变更控制|测试/验证/记录变更CM‑4安全影响分析崔CM‑5更改的访问限制崔CM‑6配置设置崔CM‑7最少的功能崔CM‑7(1)最少的功能|定期审查崔CM‑7(2)最少的功能|阻止程序执行崔能件/单 崔CM‑8CM‑8(1)CM‑8(3)CM‑8(5)CM‑9

系统组件库存系统组件库存|安装/拆卸期间的更新

崔崔崔NIST特别出版物800‑53。然而，它是作为黑名单的可选且更强大的政策替代方案提供的。P2附录E第附录E第90页表NISTSP800‑53剪裁适度的基线安全控制行动CP‑1应急计划政策和程序CP‑2应急方案CP‑2(1)应急计划|与相关计划协调CP‑2(3)应急计划|恢复基本任务/业务职能CP‑2(8)应急计划|识别关键资产CP‑3应急培训CP‑4应急计划测试CP‑4(1)应急计划测试|与相关计划协调CP‑6备用存储站点CP‑6(1)备用存储站点|与主要场地分离CP‑6(3)备用存储站点|无障碍CP‑7替代处理地点CP‑7(1)备用处理站点|与主要场地分离CP‑7(2)备用处理站点|无障碍CP‑7(3)备用处理站点|服务优先级CP‑8电讯服务CP‑8(1)电信服务|服务提供的优先顺序CP‑8(2)电信服务|单点故障CP‑9系统备份崔CP‑9(1)系统备份|可靠性/完整性测试CP‑10系统恢复与重构CP‑10(2)系统恢复和重建|交易恢复DPP2附录E第附录E第93页表NISTSP800‑53剪裁适度的基线安全控制行动IA‑1身份识别和认证政策和程序IA‑2身份识别和认证（组织用户）崔IA‑2(1)身份识别和认证（组织用户）|特权网络访问账户崔IA‑2(2)身份识别和认证（组织用户