SP 800-37:联邦IT系统的安全认证与认可指南
NIST提出了一个新的系统认证认可项目,设计该项目是为了达到3个目的:
*开发标准指南和过程,以认证和认可联邦IT系统(包括美国政府关键基础设施)。
*为联邦IT系统定义基本的最低安全控制。
*根据标准指南和过程,提升公共的和私人评估机构的开发,以及认证个人是否具备提供高性价比、高质量安全认证的能力。
安全认证认可(C&A)计划提供了几个独有的好处:
*使IT系统的认证更加一致、更具可比性并可以重复使用。
*为授权官员提供更加完整可靠的信息——使他们更好地理解复杂的IT系统以及其相关风险和漏洞——并且,由此使管理者做出更有见地的决定。
*更容易得到令人满意的安全评价和评估服务。 使联邦政府的IT系统更加安全。
图6-3显示了原版SP 800-37与其他NIST发行物之间的关系。