基于NIST 800-53低，中，高影响的安全控制

由于NIST 800-53首次引入，因此控制数量大大扩展; 800-53的初始版本包含大约300个控件，NIST 800-53 Rev 4包含965个控件。

尽管复杂性，但每个NIST 800-53修订版使控件设置越来越有价值。作为移动，物联网和云等的东西，NIST不断增强800-53，使迁移持续要求。

800-53（Rev.4）安全控制目录

影响低
适度影响
重大影响

2020-spectrum-nist-800-54-low-moder-high-basel-compliance.jpg

NIST Baseline Mayer.

//pages.nist.gov/sctools/bt.xml

安全目标/影响/所需的安全控制

保密

正直

可用性

低的

登录审计
在途中加密
补丁管理
集中式身份验证

防病毒

现场备份
切换控制
补丁管理
漏洞管理
斯拉斯

缓和

登录审计
系统健康监测
休息加密
在途中加密
MFA.
安全删除
DLP.
补丁管理
集中式身份验证
机器认证
基于角色的身份验证
网络ID
云隔离

防病毒
文件完整性监控

高可用性
现场备份
切换控制
补丁管理
漏洞管理
斯拉斯

高的

登录审计
系统健康监测
休息加密
在途中加密
MFA.
PRITILEDGED访问管理
补丁管理
机器认证
宿主ID
网络ID
SSL解密
安全删除
DLP.
渗透测试
集中式身份验证
基于角色的身份验证
云隔离

防病毒
文件完整性监控

高可用性
现场/异地备份
可扩展性
博士网站
切换控制
补丁管理
漏洞管理
DDOS保护
斯拉斯

以下列表显示最常见的控件与800-53中的影响级别对齐。

影响/所需的安全控制（基于800-53））

	低的	缓和	高的
访问控制/防火墙
帐户管理
安全意识培训
安全评估/分类
系统库存
关键保护/管理
DOS保护
来自外部网络的远程访问	监控，管理，	特权命令控制和文档，	受保护的信息，禁用非安全网络协议
无线访问	身份验证，加密，监控，	（限制用户）
物理访问控制
系统维护
补丁管理
系统/登录审计/响应
系统健康，使用监控
在途中加密
系统硬化
软件使用限制
防病毒/ antimalware
漏洞扫描
现场备份/恢复
备用存储站点& Backup / Recovery
访问/配置更改控制
最重要的特权
PKI证书
反垃圾邮件
端点高级威胁保护
休息加密
设备识别& 验证
网络ID
文件完整性监控
基于角色的身份验证
集中式身份验证
分开职责
DLP.
应用程序分区
多因素身份验证
安全删除
渗透测试
漏洞管理
供应链保护
网络隔离（DMZ，子网，MGMT接口）
博士网站
特权访问管理
暹粒
宿主ID

NIST SP 800-53完整控制列表

//www.stigviewer.com/controls/800-53

NIST优先级从P0到P5，P1是最优先级。一般为1-5决定了应在该命令中实现的顺序。

有一个p0 - 这是最低优先级。

num。	标题	影响	优先事项	学科领域
AC-1	使用权控制政策和程序	低的	P1	访问控制
AC-2	帐户管理	低的	P1	访问控制
AC-3	使用权执法	低的	P1	访问控制
AC-7	不成功登录尝试	低的	P2	访问控制
AC-8	系统使用通知	低的	P1	访问控制
AC-14	允许没有识别或身份验证的操作	低的	P3	访问控制
AC-17	偏僻的使用权	低的	P1	访问控制
AC-18	无线的使用权	低的	P1	访问控制
AC-19	使用权控制移动设备	低的	P1	访问控制
AC-20	用外部信息系统	低的	P1	访问控制
AC-22	公开可访问的内容	低的	P3	访问控制
AT-1	安全意识和培训政策和程序	低的	P1	意识和训练
AT-2	安全意识培训	低的	P1	意识和训练
AT-3	角色为基础安全培训	低的	P1	意识和训练
AT-4	安全培训记录	低的	P3	意识和训练
AU-1	审计和问责制政策和程序	低的	P1	审计和问责制
AU-2	审计活动	低的	P1	审计和问责制
AU-3	内容审计记录	低的	P1	审计和问责制
AU-4	审计存储容量	低的	P1	审计和问责制
AU-5	回复审核处理失败	低的	P1	审计和问责制
AU-6	审计审查，分析和报告	低的	P1	审计和问责制
AU-8	时间邮票	低的	P1	审计和问责制
AU-9	保护审计信息	低的	P1	审计和问责制
AU-11	审计记录保留	低的	P3	审计和问责制
AU-12	审计一代	低的	P1	审计和问责制
CA-1	安全评估和授权政策和程序	低的	P1	安全评估和授权
CA-2	安全评估	低的	P2	安全评估和授权
CA-3	系统互连	低的	P1	安全评估和授权
CA-5	计划行动和里程碑	低的	P3	安全评估和授权
CA-6	安全授权	低的	P2	安全评估和授权
CA-7	连续的监测	低的	P2	安全评估和授权
CA-9	内部的系统连接	低的	P2	安全评估和授权
CM-1	配置管理政策和程序	低的	P1	配置管理
CM-2	基线配置	低的	P1	配置管理
CM-4	安全影响分析	低的	P2	配置管理
CM-6	配置设置	低的	P1	配置管理
CM-7	至少功能	低的	P1	配置管理
CM-8	信息系统组件库存	低的	P1	配置管理
CM-10	软件使用限制	低的	P2	配置管理
CM-11	用户安装软件	低的	P1	配置管理
CP-1	偶然性规划政策和程序	低的	P1	偶然性规划
CP-2	偶然性计划	低的	P1	偶然性规划
CP-3	偶然性训练	低的	P2	偶然性规划
CP-4	偶然性计划测试	低的	P2	偶然性规划
CP-9	信息系统备份	低的	P1	偶然性规划
CP-10	信息系统恢复和重建	低的	P1	偶然性规划
IA-1	鉴别和身份验证政策和程序	低的	P1	鉴别和身份验证
IA-2	鉴别和身份验证（组织用户）	低的	P1	鉴别和身份验证
IA-4	标识符管理	低的	P1	鉴别和身份验证
IA-5	验证者管理	低的	P1	鉴别和身份验证
IA-6	验证者反馈	低的	P2	鉴别和身份验证
IA-7	加密模块身份验证	低的	P1	鉴别和身份验证
IA-8	鉴别和身份验证（非组织用户）	低的	P1	鉴别和身份验证
IR-1	事件响应政策和程序	低的	P1	事件响应
IR-2	事件响应培训	低的	P2	事件响应
IR-4	事件处理	低的	P1	事件响应
IR-5	事件监测	低的	P1	事件响应
IR-6	事件报告.	低的	P1	事件响应
IR-7	事件回复援助	低的	P2	事件响应
IR-8	事件响应计划	低的	P1	事件响应
MA-1	系统维护政策和程序	低的	P1	维护
MA-2	受控维护	低的	P2	维护
MA-4	非本体维护	低的	P2	维护
MA-5	维护人员	低的	P2	维护
MP-1	媒体保护政策和程序	低的	P1	媒体保护
MP-2	媒体使用权	低的	P1	媒体保护
MP-6	媒体消毒	低的	P1	媒体保护
MP-7	媒体用	低的	P1	媒体保护
PE-1	身体的和环境保护政策和程序	低的	P1	身体和环境保护
PE-2	身体的访问授权	低的	P1	身体和环境保护
PE-3	身体的访问控制	低的	P1	身体和环境保护
PE-6	监测物理访问	低的	P1	身体和环境保护
PE-8	游客访问记录	低的	P3	身体和环境保护
PE-12	紧急情况灯光	低的	P1	身体和环境保护
PE-13	火保护	低的	P1	身体和环境保护
PE-14	温度和湿度控制	低的	P1	身体和环境保护
PE-15	水损坏保护	低的	P1	身体和环境保护
PE-16	交货和删除	低的	P2	身体和环境保护
PL-1	安全规划政策和程序	低的	P1	规划
PL-2	系统安全计划	低的	P1	规划
PL-4	规则行为	低的	P2	规划
PS-1	人员安全政策和程序	低的	P1	人员安全
PS-2	位置风险指定	低的	P1	人员安全
PS-3	人员筛选	低的	P1	人员安全
PS-4	人员终止	低的	P1	人员安全
PS-5	人员转移	低的	P2	人员安全
PS-6	使用权协议	低的	P3	人员安全
PS-7	第三方人员安全	低的	P1	人员安全
PS-8	人员制裁	低的	P3	人员安全
RA-1	风险评估政策和程序	低的	P1	风险评估
RA-2	安全分类	低的	P1	风险评估
RA-3	风险评估	低的	P1	风险评估
RA-5	漏洞扫描	低的	P1	风险评估
SA-1	系统和服务收购政策和程序	低的	P1	系统和服务收购
SA-2	分配资源	低的	P1	系统和服务收购
SA-3	系统发展生命周期	低的	P1	系统和服务收购
SA-4	获得过程	低的	P1	系统和服务收购
SA-5	信息系统文档	低的	P2	系统和服务收购
SA-9	外部的信息系统服务	低的	P1	系统和服务收购
SC-1	系统和通信保护政策和程序	低的	P1	系统和通信保护
SC-5	否认服务保护	低的	P1	系统和通信保护
SC-7	边界保护	低的	P1	系统和通信保护
SC-12	加密主要建立和管理	低的	P1	系统和通信保护
SC-13	加密保护	低的	P1	系统和通信保护
SC-15	合作计算设备	低的	P1	系统和通信保护
SC-20	安全的姓名/地址解答服务（权威来源）	低的	P1	系统和通信保护
SC-21	安全的名称/地址解析服务（递归或缓存解析器）	低的	P1	系统和通信保护
SC-22	建筑学并供应名称/地址解答服务	低的	P1	系统和通信保护
SC-39	过程隔离	低的	P1	系统和通信保护
SI-1	系统和信息完整性政策和程序	低的	P1	系统和信息完整性
SI-2	缺陷修复	低的	P1	系统和信息完整性
SI-3	恶意代码保护	低的	P1	系统和信息完整性
SI-4	信息系统监控	低的	P1	系统和信息完整性
SI-5	安全警报，建议和指令	低的	P1	系统和信息完整性
SI-12	信息处理和保留	低的	P2	系统和信息完整性

num。	标题	影响	优先事项	学科领域
AC-4	信息流动执行	缓和	P1	访问控制
AC-5	分开职责	缓和	P1	访问控制
AC-6	最重要的特权	缓和	P1	访问控制
AC-11	会话锁定	缓和	P3	访问控制
AC-12	会议终止	缓和	P2	访问控制
AC-21	信息共享	缓和	P2	访问控制
AU-7	审计减少和报告生成	缓和	P2	审计和问责制
CM-3	配置更改控制	缓和	P1	配置管理
CM-5	改变的访问限制	缓和	P1	配置管理
CM-9	配置管理计划	缓和	P1	配置管理
CP-6	备用存储站点	缓和	P1	偶然性规划
CP-7	备用处理站点	缓和	P1	偶然性规划
CP-8	电信服务	缓和	P1	偶然性规划
IA-3	设备识别和认证	缓和	P1	鉴别和身份验证
IR-3	事件响应测试	缓和	P2	事件响应
MA-3	维护工具	缓和	P3	维护
MA-6	及时维护	缓和	P2	维护
MP-3	媒体标记	缓和	P2	媒体保护
MP-4	媒体存储	缓和	P1	媒体保护
MP-5	媒体运输	缓和	P1	媒体保护
PE-4	传输介质的访问控制	缓和	P1	身体和环境保护
PE-5	输出设备的访问控制	缓和	P2	身体和环境保护
PE-9	电力设备和布线	缓和	P1	身体和环境保护
PE-10	紧急关闭	缓和	P1	身体和环境保护
PE-11	紧急权力	缓和	P1	身体和环境保护
PE-17	备用工作现场	缓和	P2	身体和环境保护
PL-8	信息安全架构	缓和	P1	规划
SA-8	安全工程原则	缓和	P1	系统和服务收购
SA-10	开发人员配置管理	缓和	P1	系统和服务收购
SA-11	开发人员安全测试和评估	缓和	P1	系统和服务收购
SC-2	应用程序分区	缓和	P1	系统和通信保护
SC-4	共享资源的信息	缓和	P1	系统和通信保护
SC-8	传输机密性和完整性	缓和	P1	系统和通信保护
SC-10	网络断开	缓和	P2	系统和通信保护
SC-17	公钥基础架构证书	缓和	P1	系统和通信保护
SC-18	移动代码	缓和	P2	系统和通信保护
SC-19	互联网协议的声音	缓和	P1	系统和通信保护
SC-23	会话真实性	缓和	P1	系统和通信保护
SC-28	保护信息休息	缓和	P1	系统和通信保护
SI-7	软件，固件和信息完整性	缓和	P1	系统和信息完整性
SI-8	垃圾邮件保护	缓和	P2	系统和信息完整性
SI-10	信息输入验证	缓和	P1	系统和信息完整性
SI-11	误差处理	缓和	P2	系统和信息完整性
SI-16	记忆保护	缓和	P1	系统和信息完整性

num。	标题	影响	优先事项	学科领域
AC-10	并发会话控制	高的	P3	访问控制
AU-10	不拒绝	高的	P2	审计和问责制
CA-8	渗透测试	高的	P2	安全评估和授权
PE-18	信息系统组件的位置	高的	P3	身体和环境保护
SA-12	供应链保护	高的	P1	系统和服务收购
SA-15	开发过程，标准和工具	高的	P2	系统和服务收购
SA-16	开发者提供的培训	高的	P2	系统和服务收购
SA-17	开发人员安全架构和设计	高的	P1	系统和服务收购
SC-3	安全功能隔离	高的	P1	系统和通信保护
SC-24	以已知状态失败	高的	P1	系统和通信保护
SI-6	安全功能验证	高的	P1	系统和信息完整性

num。	标题	影响	优先事项	学科领域
AC-9	上一个登录（访问）通知		P0	访问控制
AC-13	监督和审查 � 访问控制			访问控制
AC-15	自动标记			访问控制
AC-16	安全属性		P0	访问控制
AC-23	数据挖掘保护		P0	访问控制
AC-24	访问控制决策		P0	访问控制
AC-25	参考监视器		P0	访问控制
AT-5	与安全组和关联的联系人			意识和训练
AU-13	信息披露监测		P0	审计和问责制
AU-14	会议审计		P0	审计和问责制
AU-15	替代审计能力		P0	审计和问责制
AU-16	交叉组织审计		P0	审计和问责制
CA-4	安全认证			安全评估和授权
CP-5	应急计划更新			偶然性规划
CP-11	替代通信协议		P0	偶然性规划
CP-12	安全模式		P0	偶然性规划
CP-13	替代安全机制		P0	偶然性规划
IA-9	服务识别和认证		P0	鉴别和身份验证
IA-10	自适应识别和认证		P0	鉴别和身份验证
IA-11	重新认证		P0	鉴别和身份验证
IR-9	信息溢出响应		P0	事件响应
IR-10	综合信息安全分析团队		P0	事件响应
MP-8	媒体降级		P0	媒体保护
PE-7	访客控制			身体和环境保护
PE-19	信息泄露		P0	身体和环境保护
PE-20	资产监测和跟踪		P0	身体和环境保护
PL-3	系统安全计划更新			规划
PL-5	隐私影响评估			规划
PL-6	与安全相关的活动计划			规划
PL-7	安全概念		P0	规划
PL-9	中央管理		P0	规划
RA-4	风险评估更新			风险评估
RA-6	技术监测对策调查		P0	风险评估
SA-6	软件使用限制			系统和服务收购
SA-7	用户安装的软件			系统和服务收购
SA-13	值得信赖		P0	系统和服务收购
SA-14	关键性分析		P0	系统和服务收购
SA-18	抗篡改和检测		P0	系统和服务收购
SA-19	组件真实性		P0	系统和服务收购
SA-20	定制关键组件的开发		P0	系统和服务收购
SA-21	开发人员筛选		P0	系统和服务收购
SA-22	不支持的系统组件		P0	系统和服务收购
SC-6	资源可用性		P0	系统和通信保护
SC-9	传输机密性			系统和通信保护
SC-11	值得信赖的道路		P0	系统和通信保护
SC-14	公共访问保护			系统和通信保护
SC-16	传输安全属性		P0	系统和通信保护
SC-25	薄节点		P0	系统和通信保护
SC-26	蜜罐		P0	系统和通信保护
SC-27	平台独立应用		P0	系统和通信保护
SC-29	异质性		P0	系统和通信保护
SC-30	隐瞒和误导		P0	系统和通信保护
SC-31	隐蔽信道分析		P0	系统和通信保护
SC-32	信息系统分区		P0	系统和通信保护
SC-33	传动准备完整性			系统和通信保护
SC-34	不可修改的可执行程序		P0	系统和通信保护
SC-35	蜜月		P0	系统和通信保护
SC-36	分布式处理和存储		P0	系统和通信保护
SC-37	带外频道		P0	系统和通信保护
SC-38	运营安全		P0	系统和通信保护
SC-40	无线链路保护		P0	系统和通信保护
SC-41	端口和I / O设备访问		P0	系统和通信保护
SC-42	传感器能力和数据		P0	系统和通信保护
SC-43	使用限制		P0	系统和通信保护
SC-44	爆炸腔室		P0	系统和通信保护
SI-9	信息输入限制			系统和信息完整性
SI-13	可预测的失败预防		P0	系统和信息完整性
SI-14	非持久性		P0	系统和信息完整性
SI-15	信息输出过滤		P0	系统和信息完整性
SI-17	故障安全程序		P0	系统和信息完整性
PM-1	信息安全计划计划			程序管理
PM-2	高级信息安全官			程序管理
PM-3	信息安全资源			程序管理
PM-4	行动计划和里程碑流程			程序管理
PM-5	信息系统库存			程序管理
PM-6	信息安全措施			程序管理
PM-7	企业架构			程序管理
PM-8	关键基础设施计划			程序管理
PM-9	风险管理战略			程序管理
PM-10	安全授权过程			程序管理
PM-11	任务/业务流程定义			程序管理
PM-12	内幕威胁计划			程序管理
PM-13	信息安全劳动力			程序管理
PM-14	测试，培训和监控			程序管理
PM-15	与安全组和关联的联系人			程序管理
PM-16	威胁意识计划			程序管理

infosec备忘录

基于NIST 800-53低，中，高冲击的安全控制

经过 Netsec.

NIST Baseline Mayer.

安全目标/影响/所需的安全控制

影响/所需的安全控制（基于800-53））

NIST SP 800-53完整控制列表

NIST优先级从P0到P5，P1是最优先级。一般为1-5决定了应在该命令中实现的顺序。

有一个p0 - 这是最低优先级。

像这样：

经过 Netsec.

相关帖子

从devops到devsecops - sdlc

CSF安全层与安全成熟度级别

简化的TRA（威胁和风险评估）示例

发表评论取消回复

你错过了

将OneManager部署到Heroku并绕过免费的层的限制

续订Microsoft 365开发人员订阅的方法

终点威胁狩猎工具& Steps

MS 365 E5高级使用率：续订订阅，一个驱动器升级到5T&创建捕获全部交换邮件规则

顶部论坛主题

infosec备忘录

经过 Netsec.

NIST Baseline Mayer.

安全目标/影响/所需的安全控制

影响/所需的安全控制（基于800-53））

NIST SP 800-53完整控制列表

NIST优先级从P0到P5，P1是最优先级。一般为1-5决定了应在该命令中实现的顺序。

有一个p0 - 这是最低优先级。

分享这个：

像这样：

经过 Netsec.

相关帖子

发表评论 取消回复

你错过了

发表评论取消回复