联邦IT系统安全认证和认可指南SP800–37.docVIP

联邦IT系统安全认证和认可指南SP800-37.txt39人生旅程并不是一帆风顺的，逆境 失意会经常伴随着我们，但人性的光辉往往在不如意中才显示出来，希望是激励我们前进的巨大的无形的动力。40奉献是爱心，勇于付出，你一定会收到意外之外的馈赠。 本文由nglang贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 NIST 特别出版物 800-37 800- 联邦 IT 系统安全认证 和认可指南 公共草案版 Ron Ross，Marianne Swanson ， 计算机安全处 信息技术实验室 国家标准和技术研究所 Gaithersburg, MD 20899-8930 第 1.0 版 2002 年 10 月 美国商务部 部长：Donald L. Evans 技术局 商务部技术副部长：Phillip J. Bond 国家标准和技术研究所 主任：Arden L. Bement, Jr. 目录 法律依据…… 1 法律依据 执行摘要…… 2 执行摘要 介绍…… 3 第 1 章 介绍 1.1 1.2 1.3 1.4 1.5 1.6 背景 …… 4 目的和范围 …… 4 系统生命周期 …… 5 组件产品评估程序 …… 5 与其他 NIST 安全出版物的关系 …… 5 本文的组织结构 …… 7 基础…… 8 第 2 章 基础 2.1 角色和责任 …… 8 2.1.1 指派的批准官员（DAA） …… 8 2.1.2 认证员和认证组 …… 9 2.1.3 项目经理和系统所有者 …… 9 2.1.4 系统安全官 …… 9 2.1.5 其他支持性角色和角色代表 …… 9 2.2 IT 系统全貌 …… 10 2.2.1 主应用…… 10 2.2.2 通用支撑系统 …… 10 2.2.3 平台 IT 互联和外包 IT 过程 …… 11 2.3 认可类别 …… 11 2.3.1 系统认可…… 11 2.3.2 类型认可…… 12 2.3.3 场地认可…… 12 2.4 认证和认可文档 …… 13 2.4.1 系统安全计划 …… 13 2.4.2 安全测试和评估报告 …… 14 2.4.3 风险评估报告 …… 14 2.4.4 认证员声明 …… 14 2.5 对大规模复杂系统的认可 …… 14 2.6 认可决策和残余风险 …… 16 2.6.1 全认可…… 16 2.6.2 临时认可…… 16 2.6.3 认可否决…… 17 第 3 章 安全控制和认证级…… 18 3.1 描述 IT 系统 …… 18 3.1.1 系统的关键性/敏感性 …… 18 2 3.1.2 系统暴露…… 18 3.1.3 关注级…… 19 3.2 安全控制 …… 22 3.2.1 安全控制的组织 …… 22 3.2.2 安全控制的选择 …… 22 3.2.3 安全控制选择的调整 …… 23 3.2.4 安全控制选择总结 …… 24 3.3 安全认证级 …… 24 3.3.1 第 1 级安全认证（SCL-1）…… 25 3.3.2 第 2 级安全认证（SCL-2）…… 25 3.3.3 第 3 级安全认证（SCL-3）…… 25 3.3.4 认证级选择 …… 26 3.3.5 认证级选择总结 …… 27 3.3.6 将认证级与安全控制相关联 …… 29 3.4 安全控制的验证 …… 29 第四章 认证和认可过程…… 31 4.1 4.2 4.3 4.4 预认证阶段 …… 31 认证阶段 …… 38 认可阶段 …… 39 认可后阶段 …… 41 附录 A 参考文献 …… 45 附录 B 术语表 …… 46 附录 C 缩略语…… 54 附录 D 认可证书范本…… 55 认证包移交声明…… 55 认可决策证书（全认可） …… 55 认可决定证书（临时认可） …… 56 认可决定证书（认可否决） …… 57 3 法律依据 本文是 NIST 根据 1987 年《计算机安全法案》和 1996 年《IT 管理改革法案》 （尤其是 美国法典（U.S.C.）第 15 编第 278 款 g-3(a)(5)）赋予的法定责任而开发的。本文与美国法 典第 15 编第 278 款 g-3(a)(3)中的指南概念有所不同。 NIST 的这些指南供处理敏感信息的联邦机构所使用。它们与 OMB（管理和预算办公 室）A-130 通告附录 III 中的要求相符。 本文也可在自愿的基础上供非政府机构使用。本文没有版权。 本文中的所有信息均不会与商务部据其法定权力向联邦机构颁布的强制性、约束性标 准与指南相矛盾