SP 800-37：联邦IT系统的安全认证与认可指南

SP 800-37：联邦IT系统的安全认证与认可指南

NIST提出了一个新的系统认证认可项目，设计该项目是为了达到3个目的：

*开发标准指南和过程，以认证和认可联邦IT系统（包括美国政府关键基础设施）。

*为联邦IT系统定义基本的最低安全控制。

*根据标准指南和过程，提升公共的和私人评估机构的开发，以及认证个人是否具备提供高性价比、高质量安全认证的能力。

安全认证认可(C&A)计划提供了几个独有的好处：

*使IT系统的认证更加一致、更具可比性并可以重复使用。

*为授权官员提供更加完整可靠的信息——使他们更好地理解复杂的IT系统以及其相关风险和漏洞——并且，由此使管理者做出更有见地的决定。

*更容易得到令人满意的安全评价和评估服务。 使联邦政府的IT系统更加安全。

图6-3显示了原版SP 800-37与其他NIST发行物之间的关系。