SP 800-37：聯(lián)邦I(lǐng)T系統(tǒng)的安全認(rèn)證與認(rèn)可指南

NIST提出了一個(gè)新的系統(tǒng)認(rèn)證認(rèn)可項(xiàng)目，設(shè)計(jì)該項(xiàng)目是為了達(dá)到3個(gè)目的：

*開(kāi)發(fā)標(biāo)準(zhǔn)指南和過(guò)程，以認(rèn)證和認(rèn)可聯(lián)邦I(lǐng)T系統(tǒng)（包括美國(guó)政府關(guān)鍵基礎(chǔ)設(shè)施）。

*為聯(lián)邦I(lǐng)T系統(tǒng)定義基本的最低安全控制。

*根據(jù)標(biāo)準(zhǔn)指南和過(guò)程，提升公共的和私人評(píng)估機(jī)構(gòu)的開(kāi)發(fā)，以及認(rèn)證個(gè)人是否具備提供高性?xún)r(jià)比、高質(zhì)量安全認(rèn)證的能力。

安全認(rèn)證認(rèn)可(C&A)計(jì)劃提供了幾個(gè)獨(dú)有的好處：

*使IT系統(tǒng)的認(rèn)證更加一致、更具可比性并可以重復(fù)使用。

*為授權(quán)官員提供更加完整可靠的信息——使他們更好地理解復(fù)雜的IT系統(tǒng)以及其相關(guān)風(fēng)險(xiǎn)和漏洞——并且，由此使管理者做出更有見(jiàn)地的決定。

*更容易得到令人滿(mǎn)意的安全評(píng)價(jià)和評(píng)估服務(wù)。 使聯(lián)邦政府的IT系統(tǒng)更加安全。

圖6-3顯示了原版SP 800-37與其他NIST發(fā)行物之間的關(guān)系。