NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

访问控制决策（也称为授权决策）发生在将授权信息应用于特定访问时。相比之下，访问执行发生在系统执行访问控制决策时。虽然通常由同一实体实施访问控制决策和访问执行，但这不是必须的，而且也不一定总是最优的实施选择。对于某些架构和分布式系统，不同的实体可能会做出访问控制决策并执行访问控制。

移动设备是一种计算设备，具有小型外形，因此可以由单个个体轻松携带；设计时无需物理连接即可操作；拥有本地、不可拆卸或可拆卸的数据存储；并且包含独立的电源。移动设备的功能还可能包括语音通信能力、允许设备捕捉信息的内置传感器，和/或用于将本地数据与远程位置同步的内置功能。示例包括智能手机和平板电脑。移动设备通常与单个个人相关联。移动设备的处理、存储和传输能力可能与笔记本或台式系统相当，也可能只是其一部分，这取决于设备的性质和预期用途。移动设备的保护和控制依赖于行为或政策，并且需要用户在设备处于受控区域之外时采取实际措施来保护和控制这些设备。受控区域是指组织为了符合保护信息和系统的要求而提供物理或程序控制的空间。由于移动设备种类繁多，具有不同的特性和功能，组织对这些设备的不同类别或类型可能会有不同的限制。移动设备的使用限制和具体实施指南包括配置管理、设备识别和认证、强制性保护软件的实施、扫描设备中的恶意代码、更新病毒防护软件、扫描关键软件更新和补丁、进行主要操作系统（以及可能的其他驻留软件）完整性检查，以及禁用不必要的硬件。使用限制和连接授权可能因组织系统而异。例如，组织可能会授权将移动设备连接到组织网络，并施加一系列使用限制，而系统所有者可能会拒绝授权移动设备连接特定应用程序，或者在允许移动设备连接系统之前施加额外的使用限制。对移动设备的充分安全保障超出了 AC-19 中规定的要求。许多移动设备的控制措施在初始控制基线中已体现，并作为使用定制流程开发安全计划和覆盖方案的起点。不同控制类别中的安全控制之间也可能存在一些重叠。AC-20 适用于未由组织控制的移动设备。

访问控制策略用于控制组织系统中主动实体或主体（即代表用户操作的用户或进程）与被动实体或对象（即设备、文件、记录、域）之间的访问。除了在系统层面强制执行授权访问，并认识到系统可以承载许多支持任务和业务功能的应用程序和服务外，访问执行机制还可以在应用程序和服务层面使用，以提供增强的信息安全和隐私保护。与在系统内实施的逻辑访问控制相反，物理访问控制由物理与环境保护（PE）系列中的控制措施来管理。

该系统提供了一个功能，使用户能够访问每个连接的安全域，而不提供任何机制允许用户在不同的安全域之间传输数据或信息。一个仅限访问的解决方案的例子是一个终端，它为用户提供访问具有不同安全级别的信息的能力，同时确保信息保持独立分开。

系统账户类型的示例包括个人账户、共享账户、组账户、系统账户、访客账户、匿名账户、紧急账户、开发者账户、临时账户和服务账户。识别授权的系统用户以及指定访问权限反映了安全计划中其他控制措施的要求。需要在系统账户上拥有管理权限的用户会受到负责批准此类账户和特权访问的组织人员的额外审查，包括系统所有者、任务或业务所有者、高级机构信息安全官员或机构高级隐私官员。由于风险增加，组织可能希望禁止的账户类型包括共享账户、群组账户、紧急账户、匿名账户、临时账户和访客账户。当访问涉及个人身份信息时，安全计划会与机构高级隐私官合作，确定群组和角色成员资格的具体条件；指定每个账户的授权用户、群组和角色成员以及访问权限；并根据组织政策创建、调整或删除系统账户。政策可以包括账户到期日期或触发账户停用的其他因素等信息。组织可以选择按账户、账户类型或两者结合来定义访问权限或其他属性。授权访问所需的其他属性示例包括对一天中的时间、星期几和来源地点的限制。在定义其他系统账户属性时，组织会考虑与系统相关的要求以及任务/业务需求。未能考虑这些因素可能会影响系统可用性。临时和紧急账户是用于短期使用的。当需要短期账户而不要求立即激活账户时，组织会在正常账户激活程序中建立临时账户。组织会在应对危机情况以及需要快速激活账户时建立紧急账户。因此，紧急账户激活可能会绕过正常的账户授权流程。紧急和临时账户不应与不常使用的账户混淆，包括用于特殊任务或网络资源不可用时的本地登录账户（也可能被称为最后手段账户）。此类账户仍然可用，并且不受自动禁用或删除日期的限制。禁用或停用帐户的条件包括共享/组帐户、紧急帐户或临时帐户不再需要，以及个人被调动或终止时。在成员离开组时更改共享/组认证器旨在确保前组成员不再保留对共享或组帐户的访问权限。某些类型的系统帐户可能需要专业培训。

非典型使用包括在一天中的某些时间或从与个人正常使用模式不一致的位置访问系统。监控非典型使用可能会揭示个体的异常行为或正在进行的攻击。账户监控可能会无意中带来隐私风险，因为为识别异常使用而收集的数据可能会揭示关于个人行为的先前未知的信息。组织在其隐私影响评估中评估并记录来自账户异常使用监控的隐私风险，并作出符合其隐私计划的决定。

组织可以指定在用户登录时提供的额外信息，包括上次登录的位置。用户位置定义为系统可以确定的信息，例如网络登录使用的互联网协议（IP）地址、本地登录通知或设备标识符。

为限制组织控制范围之外对无线通信的未经授权使用，可采取的措施包括降低无线传输的功率，以减少信号在组织物理范围之外被接收的可能性；采取诸如发射安全等措施以控制无线发射；以及使用定向天线或波束成形天线，以降低意外接收者拦截信号的可能性。在采取此类缓解措施之前，组织可以定期进行无线调查，以了解组织系统的无线频率分布情况，以及可能在该区域运行的其他系统的情况。

组织根据跨分类边界的信息流类型，在跨域策略和指导中定义批准的解决方案和配置。国家安全局（NSA）国家跨域战略与管理办公室提供已批准的跨域解决方案列表。如需更多信息，请联系 ncdsmo@nsa.gov。

断言和强制应用程序访问旨在解决需要访问现有系统应用程序和功能的应用程序，包括用户联系人、全球定位系统、摄像头、键盘、麦克风、网络、电话或其他文件。

系统通常为特权用户提供将安全和隐私属性分配给系统定义的主体（例如用户）和对象（例如目录、文件和端口）的功能。一些系统还为普通用户提供将安全和隐私属性分配给其他对象（例如文件、电子邮件）的额外功能。设计文档中描述了由授权人员进行属性关联的情况。系统提供的支持可以包括提示用户选择与信息对象相关的安全和隐私属性，使用自动化机制根据定义的策略为信息分配属性，或者确保所选安全或隐私属性的组合有效。组织在定义可审计事件时会考虑属性的创建、删除或修改。

将安全性和隐私属性与系统中的信息关联，对于执行自动访问控制和流量执行操作非常重要。将这些属性与信息关联（即绑定）可以通过提供不同级别保障的技术和方法来实现。例如，系统可以使用数字签名以加密方式将属性绑定到信息上，而这些数字签名支持由硬件设备保护的加密密钥（有时称为硬件信任根）。

基于属性的访问控制是一种访问控制策略，它根据指定的组织属性（例如，工作职能、身份）、操作属性（例如，读取、写入、删除）、环境属性（例如，一天中的时间、位置）和资源属性（例如，文档的分类）来限制系统对授权用户的访问。组织可以根据属性以及执行所需操作的授权（即权限）创建规则，这些操作对应于与组织定义的属性和规则相关的系统。当用户被分配到基于属性的访问控制策略或规则中定义的属性时，他们可以被赋予系统的相应权限，或者动态地获得对受保护资源的访问权限。基于属性的访问控制可以实现为强制访问控制或自主访问控制。当以强制访问控制实施时，AC-3(3)中的要求定义了策略所涵盖的主体和对象的范围。

安全和隐私属性的内容或分配值可以直接影响个人获取组织信息的能力。因此，系统必须能够限制只有授权人员才能创建或修改可与主体和对象关联的属性类型和值。

系统输出包括打印的页面、屏幕或同类物品。系统输出设备包括打印机、笔记本电脑、视频显示器、智能手机和平板电脑。为了降低信息未经授权泄露的风险（例如，偷窥屏幕），当用户未屏蔽时，输出会显示完整的属性值。

重新分级机制是一种受信任的过程，被授权根据已定义的政策例外对数据进行重新分类和重新标记。经过验证的重新分级机制被组织用来为属性重新分配活动提供所需的保证水平。通过确保重新分级机制具有单一用途且功能有限，可以促进验证。由于安全性和隐私属性的变化可能直接影响策略执行行为，因此有必要实施可靠的重评机制，以帮助确保这些机制在一致且正确的运行模式下执行。

属性的内容或分配值会直接影响个人访问组织信息的能力。因此，系统必须能够将创建或修改属性的权限限制在授权人员范围内，这一点非常重要。

内容过滤是指在信息通过跨域解决方案时对其进行检查的过程，并确定该信息是否符合预定义的策略。内容过滤的操作以及过滤操作的结果会对每条消息进行记录，以确保已应用正确的过滤操作。内容过滤报告用于协助排查操作问题，例如，确定消息内容为何被修改和/或为何未通过过滤过程。审计事件在 AU-2 中定义。审计记录在 AU-12 中生成。

在某些情况下，例如当存在对人类生命的威胁或威胁组织执行关键任务或业务功能的事件时，可能需要对访问控制机制的覆盖能力。覆盖条件由组织定义，仅在这些有限情况下使用。审计事件在 AU-2 中定义。审计记录在 AU-12 中生成。

对远程命令进行身份验证可以防止未经授权的命令以及已授权命令的重放。对远程系统进行远程指令身份验证的能力非常重要，因为如果这些系统发生丢失、故障、误导或被利用，可能会立即造成严重后果，例如人员伤害、死亡、财产损失、高价值资产损失、任务或业务功能失败，或机密或受控未分类信息的泄露。远程命令的身份验证机制确保系统按照预期的顺序接受和执行命令，仅执行授权的命令，并拒绝未授权的命令。例如，可以使用加密机制来验证远程命令。

无线网络功能代表了一个潜在的重大漏洞，可能会被对手利用。为了保护具有无线接入点的系统，强用户和设备认证以及强加密可以降低系统在无线技术使用中受到对手威胁的可能性。

安全功能包括建立系统账户、配置访问授权（即权限、特权）、配置需要审计的事件的设置以及建立入侵检测参数。与安全相关的信息包括路由器或防火墙的过滤规则、安全服务的配置参数、加密密钥管理信息以及访问控制列表。授权人员包括安全管理员、系统管理员、系统安全官、系统程序员以及其他具有特权的用户。

账户管理审计记录根据 AU-2 定义，并按照 AU-6 进行审查、分析和报告。

使用自动化机制来执行信息共享决策。

自动化系统账户管理包括使用自动化机制创建、启用、修改、禁用和删除账户；在账户被创建、启用、修改、禁用或删除，或者用户被终止或调岗时通知账户管理人员；监控系统账户使用情况；并报告异常的系统账户使用情况。自动化机制可以包括内部系统功能以及电子邮件、电话和短信通知。

临时和紧急账户的管理包括在预定义的时间段后自动删除或禁用这些账户，而不是由系统管理员自行决定。账户的自动删除或禁用能够实现更一致的管理。

生物特征具有概率性质。成功认证的能力可能受到多种因素的影响，包括匹配性能和欺骗攻击检测机制。组织会根据组织定义的因素为用户选择适当的尝试次数。

组织可以全局、按账户类型、按账户或任何组合方式定义系统账户的最大并发会话数。例如，组织可以限制系统管理员或其他在特别敏感领域或关键任务应用中工作的人员的并发会话数量。并发会话控制针对系统账户的并发会话。然而，它并不涉及单个用户通过多个系统账户的并发会话。

文档包含配置安全或隐私策略过滤器的详细信息。例如，管理员可以配置安全或隐私策略过滤器，以包含安全或隐私策略机制根据组织提供的定义检查的不当词汇列表。

为了在分布式系统的多个系统组件中实施安全和隐私策略，组织提供了对用于访问控制和流量控制决策的安全和隐私属性的一致解释。组织可以建立协议和流程，以帮助确保分布式系统组件在自动访问控制和流量控制操作中对属性的解释保持一致。

组织只有在信息存在于系统内时才能直接保护信息。一旦信息传输到系统之外，可能需要额外的控制措施，以确保组织信息得到充分保护。在系统无法确定外部实体提供的保护措施是否足够的情况下，作为一种减轻控制措施，组织会通过程序性方式确定外部系统是否提供了足够的控制。用于确定外部系统提供的控制措施是否充分的方法包括进行定期评估（检查/测试）、在组织与其对方组织之间建立协议，或其他某种过程。外部实体用于保护所接收信息的手段不必与组织使用的手段相同，但所采用的手段足以确保对安全和隐私政策进行一致的裁定，从而保护信息和个人隐私。信息的受控发布要求系统在将信息发布到外部系统之前，实施技术或程序手段来验证信息。例如，如果系统将信息传递给另一个组织控制的系统，就会采用技术手段来验证所导出信息的安全性和隐私属性是否适合接收系统。或者，如果系统将信息传送到组织控制的空间中的打印机，可以采用程序化手段确保只有授权人员可以访问打印机。

数据挖掘是一种分析过程，它试图在大型数据集中寻找相关性或模式，以实现数据或知识的发现。数据存储对象包括数据库记录和数据库字段。敏感信息可能会从数据挖掘操作中被提取出来。当信息属于可识别个人身份的信息时，可能会导致关于个人的意外披露，并产生隐私风险。在进行数据挖掘活动之前，组织应确定此类活动是否获得授权。组织可能需要遵守适用于数据挖掘要求的法律、行政命令、指令、法规或政策。组织人员就此类要求向机构高级官员咨询隐私和法律意见。数据挖掘的预防和检测技术包括限制数据库查询的数量和频率，以增加确定数据库内容所需的工作量，限制对数据库查询提供的响应类型，应用差分隐私技术或同态加密技术，并在发生异常数据库查询或访问时通知相关人员。数据挖掘保护侧重于在信息存储于组织数据存储时保护这些信息免受数据挖掘的影响。相比之下，AU-13则侧重于监控可能已被挖掘或以其他方式从数据存储中获取并作为开放源信息存在于外部网站（例如社交网络或社交媒体网站）上的组织信息。[EO 13587] 要求建立内部威胁计划，以威慑、检测和减轻内部威胁，包括保护敏感信息免受利用、泄露或其他未经授权的披露。数据挖掘保护要求组织确定适当的技术，以防止和检测不必要或未经授权的数据挖掘。内部人员可以利用数据挖掘收集组织信息以进行外泄。

数据清理是指对存储在存储设备（如硬盘、闪存/固态硬盘、移动设备、光盘和DVD）上或以纸质形式存在的数据进行不可逆地删除或销毁的过程。

数据类型标识符包括文件名、文件类型、文件签名或标记，以及多个内部文件签名或标记。系统仅允许传输符合数据类型格式规范的数据。数据类型的识别和验证基于与每种允许的数据格式相关的定义规范。仅凭文件名和号码不能用于数据类型识别。内容会根据其规范在语法和语义上进行验证，以确保其是正确的数据类型。

在信息传输之前将信息分解成与政策相关的子组件，有助于对来源、目的地、证书、分类、附件以及其他与安全或隐私相关的组件区分因素的政策决策。策略执行机制对信息中与策略相关的子组件应用过滤、检查和/或清理规则，以便在将此类信息传输到不同安全域之前实施流动控制。

未经授权的信息包括恶意代码、不适合从源网络发布的信息，或可能干扰或损害目标网络上的服务或系统的可执行代码。

设备锁是为了防止在用户停止工作并离开系统的直接附近时的逻辑访问而采取的临时措施，但由于缺席是暂时的，他们不希望注销。设备锁可以在操作系统级别或应用程序级别实现。可以使用接近锁来启动设备锁（例如）。通过支持蓝牙的设备或加密锁）。用户主动发起的设备锁定是基于行为或策略的，因此需要用户采取实际操作来启动设备锁定。设备锁定不能作为注销系统的替代方法，例如当组织要求用户在工作日结束时注销时。

禁用过期的、非活动的或其他异常的账户有助于支持最小权限和最小功能的概念，从而减少系统的攻击面。

构成重大安全和/或隐私风险的用户包括那些有可靠证据表明其有意利用授权访问系统来造成伤害，或通过其行为使对手造成伤害的个人。这种伤害包括对组织运营、组织资产、个人、其他组织或国家产生的不利影响。在为高风险人员禁用系统账户时，系统管理员、法律人员、人力资源经理和授权官员之间的紧密协调是至关重要的。

嵌入系统组件中的无线网络功能代表了潜在的重要漏洞，可能被对手利用。当无线功能不是执行关键组织任务或功能所必需时，禁用无线功能可以减少使用无线技术的对手所带来的威胁。

系统断开或禁用的速度取决于任务或业务功能的重要性，以及是否需要立即或未来禁止对系统的远程访问。

当实施自主访问控制策略时，主体在对其已被授予访问权限的信息采取何种操作方面没有限制。因此，已被授予信息访问权限的主体不会被阻止将信息传递给其他主体或对象（即，主体可以自由决定是否传递）。自主访问控制可以与强制访问控制一起运行，如 AC-3(3) 和 AC-3(15) 所述。受强制访问控制策略限制的主体仍然可以在自主访问控制较宽松的约束下进行操作。因此，虽然 AC-3(3) 对主体施加了约束，防止其将信息传递给在不同影响或分类级别上操作的另一个主体，但 AC-3(4) 允许主体将信息传递给同一影响或分类级别的任何主体。该策略受系统限制。一旦信息传出系统控制之外，可能需要额外的手段来确保约束继续有效。虽然传统的自主访问控制定义要求基于身份的访问控制，但对于本次自主访问控制的特定使用，并不要求这一限制。

同时实施强制访问控制策略和自主访问控制策略可以为用户或代表用户操作的进程的未授权代码执行提供额外的保护。这有助于防止单个被攻破的用户或进程危及整个系统。

归因是安全和隐私作战概念中的关键组成部分。能够识别系统内部信息流的来源和目的地，使得事件的取证重建成为可能，并通过将政策违规行为归因于特定组织或个人来促进政策合规性。成功的域名认证要求系统标签能够区分参与准备、发送、接收或传播信息的系统、组织和个人。归属还使组织能够更好地维护个人身份信息处理在系统中流动的来源，并可以促进同意跟踪，以及个人提出的更正、删除或访问请求。

双重授权，也称为双人控制，可以降低与内部威胁相关的风险。双重授权机制要求两位授权人员的批准才能执行。为了降低串通的风险，组织通常会考虑将双重授权职责轮换给其他人员。组织在需要立即响应以确保公众和环境安全时，会考虑实施双重授权机制所带来的风险。

动态创建、激活、管理和停用系统账户的方法依赖于在运行时自动为先前未知的实体提供账户。组织通过建立信任关系、业务规则以及与适当权限机构的机制，来规划系统账户的动态管理、创建、激活和停用，从而验证相关的授权和权限。

当信息的安全性或隐私特性随时间变化时，属性的动态关联是适当的。属性可能由于信息聚合问题而发生变化（即，单个数据元素的特性与组合后的元素不同），以及单个访问授权的变化（即…，权限）、信息安全类别的变化，或安全或隐私政策的变化。属性也可能会根据情况发生变化。

关于动态信息流控制的组织政策包括基于不断变化的条件或任务或操作考虑来允许或不允许信息流动。变化的条件包括由于任务或业务需求的紧迫性变化而导致的风险容忍度变化、威胁环境的变化，以及可能有害或不利事件的检测。

与使用静态账户和预定义用户权限的访问控制方法相比，动态访问控制方法依赖于通过动态权限管理在运行时进行的访问控制决策，例如基于属性的访问控制。虽然用户身份随时间相对保持不变，但用户权限通常会根据持续的任务或业务需求以及组织的运营需求更频繁地变化。动态权限管理的一个例子是立即撤销用户的权限，而不是要求用户终止并重新启动会话以反映权限的变化。动态权限管理还可以包括根据动态规则更改用户权限的机制，而不是编辑特定的用户配置文件。例如，如果用户在非正常工作时间操作、其工作职能或任务发生变化，或者系统处于压力或紧急情况下，用户权限会自动调整。动态权限管理包括权限更改的影响，例如，当用于通信的加密密钥发生变化时。

在其他数据类型中嵌入数据类型可能会导致流程控制效果降低。数据类型嵌入包括将文件作为对象插入到其他文件中，以及使用可能包含多个嵌入数据类型的压缩或归档数据类型。对数据类型嵌入的限制考虑嵌入的层级，并禁止超出检查工具能力的数据类型嵌入层级。

例如，在系统授权允许的情况下，管理员可以启用安全或隐私策略过滤器，以适应批准的数据类型。管理员还可以根据需要选择在特定数据流上执行的过滤器，这些选择基于传输的数据类型、源和目的地的安全域以及其他与安全或隐私相关的特性。

未通过过滤检查的内容如果传输到接收域可能会破坏系统。

使用多个进程来实现内容过滤机制可以减少单点故障的可能性。

内容过滤是指在信息穿越跨域解决方案时进行检查，并确定该信息是否符合预定义的安全策略的过程。编排引擎协调内容过滤过程中活动（手动和自动）的顺序。错误被定义为异常操作或内容过滤过程的意外终止。这不同于过滤器因内容不符合政策而失败。内容过滤报告是确保预期过滤操作成功完成的常用机制。

流量控制机制包括内容检查、安全策略过滤器和数据类型标识符。加密一词的使用范围已扩展到包括过滤机制无法识别的编码数据。

基于容器的加密为移动设备上的数据和信息加密提供了更细粒度的方法，包括加密选定的数据结构，如文件、记录或字段。

组织为所有可能进行自动流量控制决策的情况定义安全或隐私策略过滤器。当无法进行完全自动的流量控制决策时，可以使用人工审核来代替或补充自动安全或隐私策略过滤。组织也可以根据需要使用人工审核。

不活动注销是基于行为或策略的，需要用户在预计的不活动时间超过定义的期限时采取实际操作进行注销。不活动注销的自动执行由 AC-11 处理。

个人访问使个人能够审查组织记录中关于他们的可识别个人信息，无论其格式如何。访问可以帮助个人了解他们的可识别个人信息是如何被处理的。这也可以帮助个人确保他们的数据是准确的。访问机制可以包括请求表格和应用接口。对于联邦机构，[PRIVACT] 处理流程可以在记录系统通知和机构网站上找到。某些类型记录的访问可能不适合（例如。对于联邦机构来说，系统记录中的执法记录可能根据[PRIVACT]免于披露，或者可能需要特定级别的身份验证保障。组织人员应咨询负责隐私事务和法律顾问的高级机构官员，以确定适当的机制以及访问权限或限制。

信息流控制规范了信息在系统内部以及系统之间的流动（与谁被允许访问信息相反），并且不考虑对该信息的后续访问。流量控制限制包括阻止声称来自组织内部的外部流量，防止受出口管制的信息以明文方式传输到互联网，限制非来自内部网页代理服务器的网页请求，以及根据数据结构和内容限制组织之间的信息传输。在组织之间转移信息可能需要一份协议，规定信息流的执行方式（参见 CA-3）。在具有不同安全或隐私策略的不同安全或隐私域之间转移信息，会引入这样的风险：这些转移可能违反一个或多个域的安全或隐私策略。在这种情况下，信息拥有者/管理者会在连接系统之间的指定政策执行点提供指导。组织考虑强制实施特定的架构解决方案以执行特定的安全和隐私政策。执行措施包括禁止连接系统之间的信息传输（即仅允许访问）、在接受来自另一个安全或隐私域或连接系统的信息之前验证写入权限、使用硬件机制来强制单向信息流，以及实施可信的重分类机制以重新分配安全或隐私属性和标签。组织通常采用信息流控制策略和执行机制来控制系统内部以及连接系统之间指定源和目的地之间的信息流。流控制基于信息及/或信息路径的特性。执行例如发生在使用规则集或建立配置设置以限制系统服务、提供基于报头信息的分组过滤能力或提供基于消息内容的消息过滤能力的边界保护设备中。组织还会考虑过滤和/或检查机制的可信度（即硬件、固件和软件组件）对于信息流控制至关重要。控制增强3到32主要针对跨域解决方案的需求，这些需求集中在更先进的过滤技术、深入分析以及在跨域产品（如高保障防护装置）中实现更强的流量控制机制。这种能力通常在商用现成产品中不可用。信息流强制也适用于控制平面流量（例如路由和 DNS）。

信息搜索与检索服务识别与信息需求相关的信息系统资源。

信息共享适用于那些可能因某种正式或行政决定而在某种程度上受到限制的信息。此类信息的例子包括合同敏感信息、与特殊访问计划或分区相关的机密信息、特权信息、专有信息以及个人可识别信息。安全和隐私风险评估以及适用的法律、法规和政策可以为这些决策提供有用的参考。根据具体情况，共享合作伙伴可以在个人、群体或组织层面上进行定义。信息可以根据内容、类型、安全类别或特殊访问项目或隔间进行定义。访问限制可能包括保密协议（NDA）。信息流技术和安全属性可用于为用户在作出共享和协作决策时提供自动化帮助。

将数据转换为规范化形式是阻止恶意攻击和大规模数据外泄的最有效机制之一。

组织对特定职责和系统采用最小权限原则。最小权限原则也适用于系统进程，确保这些进程对系统的访问权限以及操作权限不会超过完成组织任务或业务功能所需的最低水平。组织认为，为实现最小权限，有必要创建额外的流程、角色和账户。组织将最小权限原则应用于组织系统的开发、实施和运营。

限制授权使用承认了个人在使用外部系统时可能需要访问组织系统的情况。组织需要确保外部系统具备必要的控制措施，以免危及、损害或以其他方式伤害组织系统。可以通过外部独立评估、认证或其他方式来验证所需控制措施是否已实施，这取决于组织所需的可信度水平。

内容过滤是指在信息通过跨域解决方案时对其进行检查，并确定该信息是否符合预定义政策的过程。使用线性内容过滤管道可以确保过滤过程不可绕过且始终被调用。一般而言，对单一数据类型使用并行过滤架构进行内容过滤会引入绕过和未调用的问题。

特权功能的滥用，无论是由授权用户有意或无意造成，还是由已入侵系统账户的未经授权的外部实体造成，都是一个严重且持续存在的问题，并可能对组织产生重大不利影响。记录和分析特权功能的使用是一种检测此类滥用的方法，同时有助于降低内部威胁和高级持续性威胁所带来的风险。

维护属性关联需要各个用户（而非系统）将定义的安全和隐私属性与主体和对象保持关联。

保持安全性和隐私属性与主体和客体的关联性和完整性，并提供足够的保证，有助于确保这些属性关联可作为自动化策略操作的基础。特定项目的完整性，例如安全配置文件，可以通过使用完整性监控机制来维护，该机制能够检测与“已知良好”基线偏离的异常和变化。自动化策略操作包括保留日期到期、访问控制决策、信息流控制决策和信息披露决策。

组织在考虑外部网络连接时会考虑可信互联网连接（TIC）计划[DHS TIC]的要求，因为限制远程访问的访问控制点数量可以减少攻击面。

强制访问控制是一种非自主访问控制。强制访问控制策略限制主体对已经获得访问权限的对象所获得的信息可以执行的操作。这防止主体将信息传递给未授权的主体和对象。强制访问控制策略限制主体在访问控制权限传播方面可以采取的操作；也就是说，具有某种权限的主体不能将该权限传递给其他主体。该策略在系统所控制的所有主体和对象上统一执行。否则，访问控制策略可能会被规避。这种执行是由符合 AC-25 所描述的参考监控器概念的实现提供的。该策略受到系统的限制（即，一旦信息传递到系统控制之外，可能需要额外的手段来确保对信息的约束仍然有效）。上述受信任主体被授予与最小特权概念一致的权限（参见 AC-6）。受信任主体仅被赋予为满足组织任务/业务需求所必需的最少权限，并符合上述政策。当有一项规定建立了关于访问受控非机密信息或机密信息的政策，并且系统的一些用户未被授权访问系统中所有此类信息时，该控制最为适用。强制访问控制可以与AC-3(4)中描述的自主访问控制一起操作。受强制访问控制策略限制的主体仍然可以在 AC-3(4) 的较宽松约束下操作，但强制访问控制策略优先于 AC-3(4) 的较宽松约束。例如，虽然强制访问控制策略施加了限制，阻止主体将信息传递给在不同影响或分类级别上运作的另一个主体，但 AC-3(4) 允许主体将信息传递给与其具有相同影响或分类级别的任何其他主体。强制访问控制策略的示例包括用于保护信息机密性的Bell-LaPadula策略以及用于保护信息完整性的Biba策略。

元数据是描述数据特征的信息。元数据可以包括描述数据结构的结构化元数据，或描述数据内容的描述性元数据。基于元数据强制执行允许的信息流，可以实现更简单、更有效的流量控制。组织会考虑元数据在数据准确性方面的可信度（即、确保元数据值与数据一致的知识）、数据完整性（即保护元数据标签免于未经授权的更改）、以及元数据与数据负载的绑定（即采用足够强的绑定技术并提供适当的保证）。

修改不可发布的信息可以帮助在信息跨安全域传输时防止数据泄露或攻击。修改操作包括掩码、排列、变更、删除或编辑。

对远程访问方法的监控和控制使组织能够检测攻击，并通过审计远程用户在各种系统组件上的连接活动来帮助确保远程访问策略的合规性，这些组件包括服务器、笔记本电脑、工作站、智能手机和平板电脑。远程访问的审计日志由 AU-2 强制执行。审计事件在 AU-2a 中定义。

网络访问是指通过网络连接进行的任何访问，以替代本地访问（即用户亲自到设备上操作）。

外部系统中的网络可访问存储设备包括公共、混合或社区云系统中的在线存储设备。

在某些情况下，确保访问控制决策能够在不获取发出请求的用户身份信息的情况下做出是很重要的。这类情况通常是那些需要高度保护个人隐私的场景。在其他情况下，访问控制决策根本不需要用户身份信息，尤其是在分布式系统中，以所需的保证程度传输此类信息可能非常昂贵或难以实现。例如，MAC、RBAC、ABAC 和基于标签的控制策略可能不会将用户身份作为属性包含在内。

非组织拥有的系统或系统组件包括由其他组织拥有的系统或系统组件以及个人拥有的设备。使用非组织拥有的系统或组件存在潜在风险。在某些情况下，风险足够高，以至于禁止使用此类系统或组件（参见 AC-20(6)）。在其他情况下，可能允许使用此类系统或系统组件，但在某种程度上会受到限制。限制包括在授权连接非组织拥有的系统和组件之前，要求实施批准的控制措施；限制访问信息、服务或应用程序的类型；使用虚拟化技术将处理和存储活动限制在组织提供的服务器或系统组件上；并同意使用条款和条件。组织会就使用个人拥有的设备相关的法律问题向总法律顾问办公室咨询，包括发生事件后在调查中进行取证分析的要求。

在访问非安全功能时要求使用非特权账户，可以在从特权账户或角色操作时限制暴露风险。角色的引入解决了组织实施访问控制策略时的情况，例如基于角色的访问控制，并且角色的变更在用户及其代表的进程的访问授权变更中提供的保证程度，与特权账户和非特权账户之间的变更所提供的保证程度相同。

关于账户安全相关特征在特定时间段内变更的信息，允许用户识别是否有未经他们知情的变更发生。

信息流强制机制会比较与信息（即数据内容和结构）以及源和目标对象相关的安全和隐私属性，当强制机制遇到信息流不被信息流策略明确允许时，会做出相应的响应。例如，标记为“秘密”的信息对象可以流向标记为“秘密”的目标对象，但标记为“绝密”的信息对象不允许流向标记为“秘密”的目标对象。包含个人可识别信息的数据集可能会被标记为禁止与其他类型的数据集合并，因此不允许流向受限数据集。安全和隐私属性还可以包括在流量过滤防火墙中使用的源地址和目标地址。可以使用显式的安全或隐私属性来执行流量控制，例如，用于控制某些类型信息的发布。

单向流动机制也可以被称为单向网络、单向安全网关或数据二极管。单向流动机制可以用于防止数据从高影响或机密域或系统中导出，同时允许从低影响或非机密域或系统导入数据。

模式隐藏显示可以包括静态或动态图像，例如用于屏幕保护程序的图案、照片图像、纯色、时钟、电量指示器，或空白屏幕，但前提是不会显示受控非机密信息。

如果组织确定特定用户操作不需要身份识别和认证，某些用户操作可能在不进行身份识别或认证的情况下被允许。组织可能允许在没有身份识别或认证的情况下进行有限数量的用户操作，包括个人访问公共网站或其他公开可访问的联邦系统时、个人使用手机接听电话时，或接收传真时。组织会识别通常需要身份识别或认证的操作，但在某些情况下，可能允许绕过身份识别或认证机制。例如，这种绕过可能通过一个软件可读取的物理开关实现，该开关可以指令绕过登录功能，并受到防止意外或无人监控使用的保护。允许在没有身份识别或认证的情况下进行操作，不适用于已经完成身份识别和认证且不再次进行的情况，而是适用于尚未进行身份识别和认证的情况。组织可能会决定，在组织系统上无法在没有身份识别和认证的情况下执行任何用户操作，因此，该分配的值可以为“无”。

强制执行与已定义数据类型相关的信息流分离可以通过确保信息在传输过程中不被混合，并通过启用无法通过其他方式实现的传输路径流量控制，从而增强保护。可分离信息的类型包括入站和出站通信流量、服务请求和响应，以及具有不同安全影响或分类级别的信息。

访问控制政策和程序涉及在系统和组织内实施的 AC 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此，安全和隐私项目在制定访问控制政策和程序时进行协作非常重要。通常情况下，组织层面的安全和隐私项目政策与程序是更可取的，并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为整体安全与隐私政策的一部分，也可以通过多项政策来体现，以反映组织的复杂性。如有需要，可以为安全与隐私计划、任务或业务流程以及系统制定相应的程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能导致访问控制政策和程序更新的事件包括评估或审计发现、安全或隐私事件，或法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重述控制措施并不构成组织的政策或程序。

对外部系统中使用组织控制的便携存储设备的限制包括完全禁止使用此类设备。禁止使用此类设备可以通过技术方法和/或非技术方法（即基于流程的方法）来执行。

对外部系统中由组织控制的可移动存储设备的使用限制包括对设备使用方式和使用条件的限制。

上一次登录通知适用于通过人工用户界面进行的系统访问以及发生在其他类型架构中的系统访问。有关上次成功登录的信息可以让用户识别提供的日期和时间是否与用户的上次访问一致。

在某些情况下，软件应用程序或程序需要以提升的权限运行以执行所需的功能。然而，根据软件的功能和配置，如果执行所需的权限高于分配给调用这些应用程序或程序的组织用户的权限，这些用户可能会间接获得超过其分配的更高权限。

组织用户是指被组织视为具有相当于员工身份的员工或个人。组织用户包括承包商、访问研究人员或从其他组织调来的个人。非组织用户是指不属于组织用户的用户。授予个人与员工等同地位的政策和程序包括知情需求、国籍以及与组织的关系。

特权账户，包括超级用户账户，通常被描述为各种商业现成操作系统的系统管理员。将特权账户限制在特定人员或角色上，可以防止日常用户访问特权信息或执行特权功能。组织在限制特权账户的应用上可以有所区分，对本地账户和域账户允许的特权进行不同管理，但前提是他们能够控制关键参数的系统配置，并在必要时采取其他措施以充分降低风险。

对系统的远程访问代表了一个重大潜在漏洞，可能被对手利用。因此，通过远程访问限制特权命令的执行和访问安全相关信息，可以减少组织的风险暴露，并降低对手利用远程访问能力的威胁。

特权角色是由组织定义并分配给个人的角色，这些角色允许个人执行普通用户无权执行的某些安全相关功能。特权角色包括密钥管理、账户管理、数据库管理、系统和网络管理以及网站管理。基于角色的访问方案将允许的系统访问和权限组织到不同的角色中。相比之下，基于属性的访问方案则根据属性来指定允许的系统访问和权限。

在滤波管道之间传递信息的过程具有最小的复杂性和功能，以确保这些过程正常运行。

系统内的受保护处理域是与其他处理空间有受控交互的处理空间，使得能够控制这些空间之间以及与信息对象之间的信息流。例如，可以通过实现域和类型强制来提供受保护处理域。在域和类型强制中，系统进程被分配到各个域，信息通过类型进行标识，并且信息流的控制基于允许的信息访问（即由域和类型决定）、域之间允许的信号传递以及进程向其他域的允许转移。

特权功能包括禁用、规避或更改已实施的安全或隐私控制、建立系统账户、执行系统完整性检查以及管理加密密钥管理活动。非特权用户是指没有适当授权的个人。需要保护不受非特权用户干扰的特权功能包括规避入侵检测和预防机制或恶意代码防护机制。防止非特权用户执行特权功能由AC-3强制执行。

虚拟专用网络可以用于保护远程访问会话的机密性和完整性。传输层安全协议（TLS）是一个加密协议的例子，它提供端到端的网络通信安全，并用于互联网通信和在线交易。

非组织实体对组织信息的远程访问可能增加未经授权使用和披露的风险，这涉及远程访问机制。组织考虑在与其他组织的信息交换协议中，包括远程访问要求（如适用）。远程访问要求也可以包含在行为规则（见 PL-4）和访问协议（见 PS-6）中。

根据适用的法律、行政命令、指令、政策、法规、标准和指南，公众无权获取非公开信息，包括受[PRIVACT]保护的信息和专有信息。公开可访问的内容是指由组织控制并向公众开放的系统，通常无需身份验证或认证。在非组织系统上发布信息（例如，非组织的公共网站、论坛和社交媒体）则受组织政策的约束。虽然组织可能有负责制定和实施有关可公开访问信息政策的个人，但可公开访问信息的内容涉及管理那些使信息可公开获取的个人。

移动设备是一种计算设备，具有较小的体积，可以由个人携带；设计为在无需物理连接的情况下运行；拥有本地的、不可拆卸或可拆卸的数据存储；并包含独立的电源。清除或擦除设备仅适用于发生组织定义的失败登录次数的移动设备。登录的是移动设备，而不是设备上的任何一个账户。成功登录移动设备上的账户会将未成功登录的计数重置为零。如果设备上的信息使用了足够强的加密机制进行保护，清除或擦除可能是没有必要的。

内容过滤是指在信息通过跨域解决方案时对其进行检查，并判断该信息是否符合预定义的策略。冗余和独立的内容过滤可以消除单点故障的过滤系统。独立性定义为使用不同的代码库和支持库实现内容过滤器（例如）。，两个使用不同供应商JPEG库的JPEG滤镜）以及多个独立的系统进程。

参考监控器是一组针对参考验证机制的设计要求，作为操作系统的关键组件，它对所有主体和客体执行访问控制策略。参考验证机制始终被调用、防篡改，并且足够小以便进行分析和测试，其完整性可以得到保证（即可验证）。信息在系统内部是通过称为数据结构的抽象来表示的。内部数据结构可以表示不同类型的实体，包括主动和被动实体。主动实体，也称为主体，与个人、设备或代表个人行动的过程相关联。被动实体，也称为对象，与数据结构相关联，例如记录、缓冲区、通信端口、表、文件和进程间管道。参考监控器实施访问控制策略，根据主体的身份或主体所属的组限制对对象的访问。系统根据策略制定的规则集执行访问控制策略。参考监控器的防篡改特性可以防止有决心的对手破坏参考验证机制的功能。始终调用特性可以防止对手绕过该机制并违反安全策略。小型化特性有助于确保对该机制进行分析和测试的完整性，以发现任何弱点或缺陷（即，潜在缺陷）会阻止安全策略的执行。

远程访问是指通过外部网络（如互联网）访问组织系统（或代表用户操作的流程）。远程访问的类型包括拨号上网、宽带和无线接入。组织使用加密的虚拟专用网络（VPN）来提高远程连接的机密性和完整性。使用加密 VPN 可以为组织提供足够的保证，即如果所使用的加密机制符合适用的法律、行政命令、指令、法规、政策、标准和指南，该组织可以有效地将此类连接视为内部网络。尽管如此，VPN 连接仍然需要穿越外部网络，且加密的 VPN 并不能提高远程连接的可用性。具有加密隧道的 VPN 也可能影响对网络通信流量中恶意代码的有效监控能力。远程访问控制适用于公共 Web 服务器或专为公共访问设计的系统以外的其他系统。每种远程访问类型的授权都是在允许远程访问之前进行授权，而不具体说明此类授权的具体形式。虽然组织可以使用信息交换和系统连接安全协议来管理与其他系统的远程访问连接，但此类协议在 CA-3 中有涉及。远程访问的访问限制执行通过 AC-3 进行处理。

限制对特定信息的访问旨在为系统中特定信息类型的访问控制提供灵活性。例如，可以采用基于角色的访问控制，仅允许访问数据库中的特定类型的个人可识别信息，而不是允许访问整个数据库。其他例子包括限制对加密密钥、身份验证信息以及选定系统信息的访问。

组织授权允许选定用户配置无线网络功能，部分是通过组织系统中使用的访问执行机制来强制实施的。

None.

在允许使用共享或群组账户之前，组织会考虑由于此类账户缺乏责任追究而带来的风险增加。

随着组织使命和业务职能、操作环境、技术或威胁的变化，对某些分配的用户权限的需求可能会发生变化。需要定期审查分配的用户权限，以确定分配这些权限的合理性是否仍然有效。如果该需求无法重新验证，组织应采取适当的纠正措施。

访问规则的撤销可能因被撤销访问的类型而异。例如，如果某个主体（即代表用户操作的用户或进程）被从某个组中移除，访问权限可能不会立即被撤销，而要等到下次打开对象或主体尝试访问对象时才会生效。基于安全标签更改的撤销可能会立即生效。如果系统无法提供此类功能且需要立即撤销，组织会提供替代方法来实现即时撤销。

基于角色的访问控制（RBAC）是一种访问控制策略，它根据主体的已定义角色（即工作职能）来强制访问对象和系统功能。组织可以根据工作职能创建特定角色，并根据组织定义的角色，授权（即权限）执行系统上所需的操作。当用户被分配到特定角色时，他们会继承为这些角色定义的授权或权限。RBAC 简化了组织的权限管理，因为权限不是直接分配给每个用户（这可能涉及大量个人），而是通过角色分配来获得的。如果分配到某个角色的个人被授予了超出其支持组织使命或业务职能所需的信息访问权限，RBAC也可能增加隐私和安全风险。RBAC可以作为强制性或自主性访问控制形式来实施。对于实施带有强制访问控制的 RBAC 的组织，AC-3(3) 中的要求定义了该策略所涵盖的主体和对象的范围。

信息在系统内部通过称为数据结构的抽象来表示。内部数据结构可以表示不同类型的实体，包括主动实体和被动实体。主动实体，也称为主体，通常与个人、设备或代表个人进行操作的过程相关联。被动实体，也称为对象，通常与数据结构相关，例如记录、缓冲区、表、文件、进程间管道和通信端口。安全属性是一种元数据，它们是一种抽象，表示主动和被动实体在保护信息方面的基本特性或属性。隐私属性可以单独使用，也可以与安全属性结合使用，它们表示在管理可识别个人身份信息时，主动或被动实体的基本属性或特征。属性可以显式或隐式地与组织系统或系统组件中包含的信息相关联。属性可以与具有发送或接收信息潜力、引起对象之间信息流动或改变系统状态的活跃实体（即主体）相关联。这些属性也可以与包含或接收信息的被动实体（即对象）相关联。系统将属性关联到主体和客体的过程称为绑定，包括设置属性值和属性类型。当属性与数据或信息绑定时，可以执行安全和隐私策略，以实现访问控制和信息流控制，包括数据保留期限、允许使用的个人可识别信息，以及数据对象中个人信息的识别。这种执行通过组织流程或系统功能或机制进行。系统所实施的绑定技术会影响属性与信息绑定的强度。绑定强度以及与绑定技术相关的可靠性在组织对信息流执行过程的信任中起着重要作用。绑定技术还会影响组织所需的额外审核的数量和程度。属性的内容或分配值可以直接影响个人访问组织信息的能力。组织可以定义系统支持任务或业务功能所需的属性类型。安全属性可以分配多种值。通过指定允许的属性范围和值，组织可以确保属性值具有意义且相关。标记是指将属性与系统内部数据结构所表示的主体和对象关联起来。这有助于基于系统实施信息安全和隐私策略。标签包括根据法律和合规要求对信息的分类（例如，绝密、机密、保密、受控未分类）、信息影响等级、高价值资产信息、访问授权、国籍；数据生命周期保护（即加密和数据过期）、个人可识别信息处理权限，包括个人对个人可识别信息处理的同意，以及承包商隶属关系。与标签相关的术语是标记。标记是指以人类可读的形式将属性与对象关联，并显示在系统介质上。标记可以实现信息安全和隐私策略的手动、程序化或基于流程的执行。安全和隐私标签可能与媒介标记的值相同（例如，绝密、机密、保密）。参见 MP-3（媒体标记）。

由组织定义的安全或隐私策略过滤器可以处理数据结构和内容。例如，用于数据结构的安全或隐私策略过滤器可以检查最大文件长度、最大字段大小，以及数据/文件类型（针对结构化和非结构化数据）。数据内容的安全或隐私策略过滤器可以检查特定的词语、列举的值或数据值范围，以及隐藏内容。结构化数据允许应用程序对数据内容进行解释。非结构化数据是指没有数据结构或数据结构无法促进制定规则集以处理数据所传递信息的影响或分类级别，或无法支持流量执行决策的数字信息。非结构化数据由本质上非语言化的位图对象组成（即图像、视频或音频文件）以及基于书面或印刷语言的文本对象。组织可以实施多个安全或隐私策略过滤器，以满足信息流控制的目标。

数据结构和内容限制可以减少跨域交易中潜在的恶意或未经许可的内容的范围。限制数据结构的安全或隐私策略过滤器包括限制文件大小和字段长度。数据内容政策过滤器包括字符集的编码格式、限制字符数据字段仅包含字母数字字符、禁止特殊字符以及验证模式结构。

与安全相关的信息是指系统内可能影响安全功能运行或安全服务提供的信息，这类信息可能导致系统安全和隐私策略无法得到执行，或无法保持代码与数据的分离。与安全相关的信息包括访问控制列表、路由器或防火墙的过滤规则、安全服务的配置参数以及加密密钥管理信息。安全的、非操作的系统状态包括系统未执行任务或业务相关处理的时间，例如系统因维护、启动、故障排除或关机而离线的时间。

为更细粒度的用户权限分配提供独立的处理域，包括使用虚拟化技术在虚拟机内允许额外的用户权限，同时限制对其他虚拟机或底层物理机的权限，实施独立的物理域，以及采用硬件或软件的域分离机制。

职责分离可以防止滥用授权特权的可能性，并有助于在没有勾结的情况下降低恶意行为的风险。职责分离包括将任务或业务职能与支持职能分配给不同的个人或角色，由不同的个人执行系统支持职能，并确保管理访问控制功能的安全人员不会同时管理审计功能。由于职责分离的违规行为可能跨越系统和应用领域，组织在制定职责分离政策时会考虑系统及其组件的整体情况。职责分离通过 AC-2 中的账户管理活动、AC-3 中的访问控制机制，以及 IA-2、IA-4 和 IA-12 中的身份管理活动来实施。

会话终止是指用户发起的逻辑会话的终止（与 SC-10 不同，SC-10 处理的是与通信会话相关的网络连接的终止，即网络断开）。逻辑会话（用于本地、网络和远程访问）是在用户（或代表用户操作的进程）访问组织系统时发起的。这样的用户会话可以在不终止网络会话的情况下结束。会话终止会结束与用户逻辑会话相关的所有进程，除非这些进程是由用户（即会话所有者）专门创建的，以便在会话终止后继续运行。需要自动终止会话的条件或触发事件包括组织规定的用户不活动时间、针对某些类型事件的特定响应或系统使用的时间限制。

有关在指定时间段内成功和不成功登录尝试次数的信息使用户能够判断登录尝试的数量和类型是否与用户实际的登录尝试一致。

系统使用通知可以通过消息或在个人登录系统之前显示的警告横幅来实现。系统使用通知仅用于通过具有人工用户的登录界面进行访问。当不存在人工界面时，不需要通知。基于风险评估，组织会考虑在初次网络登录后，是否需要使用二次系统使用通知来访问应用程序或其他系统资源。组织会根据自身需求和系统用户的人口统计情况，考虑使用多种语言显示的系统使用通知信息或横幅。各组织会咨询隐私办公室以获取隐私信息传递方面的意见，并咨询总法律顾问办公室或组织的同等机构，对警示横幅内容进行法律审查和批准。

Web访问的注销消息可以在认证会话终止后显示。然而，对于某些类型的会话，包括文件传输协议（FTP）会话，系统通常会在终止会话之前将注销消息作为最后的消息发送。

为了提高可用性，应通知用户即将结束的会话，并提示用户是否继续会话。即将结束的会话时间段基于 AC-12 基本控制中定义的参数。

授权过程和访问控制决策可能发生在系统的不同部分或不同系统中。在这种情况下，授权信息会被安全传输（例如，使用加密机制），以便在适当的位置及时执行访问控制决策。为了支持访问控制决策，可能有必要作为访问授权信息的一部分传输支持安全性和隐私属性的内容。这是因为在分布式系统中，需要做出各种访问控制决策，并且不同的实体以串行方式做出这些决策，每个实体都需要这些属性来做出决策。保护访问授权信息可确保此类信息在传输过程中不会被篡改、伪造或泄露。

无论登录是通过本地连接还是网络连接，当尝试次数超过最大限制时，都需要限制失败的登录尝试并采取后续措施。由于存在拒绝服务的可能性，由系统发起的自动锁定通常是暂时的，并会在预定的、由组织定义的时间段后自动解除。如果选择了延迟算法，组织可能会根据各个组件的能力对系统的不同组件采用不同的算法。对未成功登录尝试的响应可能在操作系统和应用程序层面实现。当超过允许的连续无效登录尝试次数时，组织可以采取的措施包括：除了用户名和密码外，提示用户回答一个安全问题；启用具有有限用户功能的锁定模式（而不是完全锁定）；允许用户仅从指定的互联网协议（IP）地址登录；要求使用 CAPTCHA 以防止自动化攻击；或者应用用户配置文件，如位置、时间、IP 地址、设备或媒体访问控制（MAC）地址。如果未实施自动系统锁定或延迟算法以支持可用性目标，组织会考虑结合其他措施来帮助防止暴力破解攻击。除了上述措施外，组织还可以在超过允许的不成功登录尝试次数之前，提示用户回答一个秘密问题。通常不允许在指定时间后自动解锁账户。然而，可能会根据运营任务或需要而要求例外情况。

有关自上次成功登录以来未成功登录尝试次数的信息可以让用户识别未成功登录尝试的次数是否与用户实际的登录尝试相符。

指定和执行使用条件有助于落实最小权限原则，提高用户责任感，并实现有效的账户监控。账户监控包括在账户使用违反组织参数时生成的警报。组织可以描述系统帐户可以使用的具体条件或情况，例如通过限制在某些星期几、一天中的特定时间或特定时间段内使用。

使用备用身份验证因素支持可用性目标，并允许意外被锁定的用户使用额外的身份验证因素来绕过锁定。

外部系统是指由组织使用但不属于组织系统的一部分，组织无法直接控制所需控制的实施或控制有效性的评估的系统。外部系统包括个人拥有的系统、组件或设备；商业或公共设施中私人拥有的计算和通信设备；由非联邦组织拥有或控制的系统；由承包商管理的系统；以及不归组织拥有、操作或直接监管的联邦信息系统。外部系统还包括同一组织内其他部门拥有或操作的系统，以及组织内拥有不同授权边界的系统。组织可以选择禁止使用任何类型的外部系统，或者禁止使用特定类型的外部系统（例如，禁止使用非组织拥有的任何外部系统，或禁止使用个人拥有的系统）。对于某些外部系统（即由其他组织运营的系统），这些组织与原始组织之间建立的信任关系可能使得不需要明确的条款和条件。这些组织内的系统可能不被视为外部系统。这些情况发生在例如组织或部门之间已经存在信息交换协议（无论是隐含的还是明确的），或者当适用的法律、行政命令、指令、法规、政策或标准规定了此类协议时。获授权的个人包括组织人员、承包商或其他具有组织系统授权访问权限的个人，组织有权对其施加关于系统访问的特定行为规则。组织对获授权个人施加的限制不必统一，因为这些限制可能会因组织之间的信任关系而有所不同。因此，组织可能会选择对承包商施加不同于州、地方或部落政府的安全限制。用于访问组织系统公共接口的外部系统不在 AC-20 的范围内。组织根据其安全政策和程序，为外部系统的使用制定具体条款和条件。至少，条款和条件应规定可以从外部系统访问的组织系统的具体应用类型，以及可以在外部系统上处理、存储或传输的最高安全类别的信息。如果无法与外部系统的所有者建立条款和条件，组织可能会对使用这些外部系统的组织人员施加限制。

用户通过身份验证获得访问权限的信息资源包括本地工作站、数据库以及受密码保护的网站或基于网络的服务。

所有信息（包括元数据及其所适用的数据）都可能受到过滤和检查。一些组织区分元数据和数据负载（即仅元数据所绑定的数据）。其他组织则不作此类区分，将元数据及其所适用的数据视为负载的一部分。

无线技术包括微波、分组无线电（超高频或甚高频）、802.11x 和蓝牙。无线网络使用提供认证器保护和双重认证的认证协议。

授权是高级官员的正式管理决策，用于批准系统运行、批准组织系统继承通用控制的使用，并基于已实施的约定控制，明确接受对组织运营和资产、个人、其他组织以及国家的风险。授权官员对组织系统和通用控制进行预算监管，或承担这些系统或通用控制所支持的任务和业务职能的责任。授权过程是联邦职责，因此，授权官员必须是联邦雇员。授权官员对组织系统的运行和使用所涉及的安全和隐私风险既负有责任，也承担问责。非联邦组织可能也有类似的流程来授权系统以及承担授权角色和相关责任的高级官员。授权官员根据已实施的持续监控计划产生的证据，颁发系统的持续授权。健全的持续监控计划减少了单独重新授权流程的需求。通过采用全面的持续监控流程，授权包中包含的信息（即…）安全和隐私计划、评估报告以及行动和里程碑计划) 会持续更新。这为授权官员、共同控制提供者和系统所有者提供了其系统、控制和操作环境的安全和隐私状态的最新信息。为了降低重新授权的成本，授权官员可以尽可能利用持续监控过程的结果作为做出重新授权决定的依据。

使用自动化工具有助于保持行动计划和里程碑的准确性、时效性和可用性，并促进整个组织范围内的安全和隐私信息的协调与共享。这种协调和信息共享有助于识别组织系统中的系统性弱点或不足，并确保在适当的时间将资源投向最关键的系统漏洞。

使用自动化监控工具有助于保持监控信息的准确性、时效性和可用性，这反过来有助于提高对系统安全性和隐私状况的持续认知，从而支持组织的风险管理决策。

合规性检查包括对相关基线配置的验证。

安全和隐私控制通常会逐步添加到系统中。因此，选择和实施控制的策略可能不一致，这些控制可能无法以一致或协调的方式共同工作。至少，缺乏一致性和协调性可能意味着系统中存在不可接受的安全和隐私漏洞。在最糟的情况下，这可能意味着在某个位置或由某个组件实施的一些控制实际上会阻碍其他控制的功能（例如，加密内部网络流量可能会影响监控）。在其他情况下，未能持续监控所有已实施的网络协议（例如（IPv4 和 IPv6 的双协议栈）可能会在系统中产生意想不到的漏洞，可能被对手利用。通过测试、监控和分析验证所实施的控制措施是否以一致、协调、互不干扰的方式运行是非常重要的。

在系统层面的持续监控有助于持续了解系统的安全性和隐私状况，从而支持组织的风险管理决策。“持续”和“不断”一词意味着组织以足够的频率评估和监控其控制措施和风险，以支持基于风险的决策。不同类型的控制可能需要不同的监控频率。持续监控的结果会促使组织采取风险应对措施。当监控已分组为能力的多个控制措施的有效性时，可能需要进行根本原因分析，以确定具体失效的控制措施。持续监控程序使组织能够在任务和业务需求、威胁、漏洞和技术不断变化的高度动态的操作环境中，维持系统和通用控制的授权。通过报告和仪表板持续获取安全和隐私信息，使组织官员能够做出有效且及时的风险管理决策，包括持续的授权决策。自动化支持对硬件、软件和固件清单、授权包以及其他系统信息进行更频繁的更新。当持续监控的输出被格式化为提供具体、可衡量、可操作、相关且及时的信息时，其有效性会进一步增强。持续监控活动会根据系统的安全类别进行调整规模。监控要求，包括对特定监控的需求，可能在其他控制措施和控制增强中被提及，例如 AC-2g、AC-2(7)、AC-2(12)(a)、AC-2(7)(b)、AC-2(7)(c)、AC-17(1)、AT-4a、AU-13、AU-13(1)、AU-13(2)、CM-3f、CM-6d、CM-11c、IR-5、MA-2b、MA-3a、MA-4a、PE-3d、PE-6、PE-14b、PE-16、PE-20、PM-6、PM-23、PM-31、PS-7e、SA-9c、SR-4、SC-5(3)(b)、SC-7a、SC-7(24)(b)、SC-18c、SC-43b 和 SI-4。

组织确保控制评估人员具备必要的技能和技术专长，以制定有效的评估计划，并在适当情况下对系统特定、混合、通用及项目管理控制进行评估。所需的技能包括对风险管理概念和方法的一般知识，以及对所实施的硬件、软件和固件系统组件的全面了解和经验。组织在初始和持续授权、持续监控、FISMA年度评估、系统设计与开发、系统安全工程、隐私工程以及系统开发生命周期等环节，会评估系统及其运行环境中的控制措施。评估有助于确保组织满足信息安全和隐私要求，识别系统设计和开发过程中存在的弱点和缺陷，提供进行基于风险的决策（作为授权流程一部分）所需的重要信息，并遵守漏洞缓解程序。组织会根据安全和隐私计划中记录的内容，对已实施的控制措施进行评估。评估还可以在系统开发生命周期的各个阶段进行，作为系统工程和系统安全工程过程的一部分。在制定请求提案（RFP）、评估响应以及进行设计审查时，也可以对控制措施的设计进行评估。如果在开发过程中对实施控制的设计及按照该设计进行的后续实施进行评估，则最终控制测试可以通过利用先前完成的控制评估并汇总结果进行简单确认。组织可以为系统制定一个统一的、综合的安全和隐私评估计划，或者保持单独的计划。综合评估计划清楚地划分了控制评估的角色和责任。如果多个组织参与系统评估，协调的方法可以减少重复工作及相关成本。组织可以使用其他类型的评估活动，例如漏洞扫描和系统监控，以在系统生命周期内维护系统的安全性和隐私状况。评估报告详细记录评估结果，根据组织的需求判断，以确定报告的准确性和完整性，以及控制措施是否得到正确实施、按照预期运行，并在满足要求方面产生预期的结果。评估结果会提供给适合所进行评估类型的个人或角色。例如，为支持授权决策而进行的评估，会提供给授权官员、隐私高级机构官员、高级机构信息安全官员以及授权官员指定的代表。为了满足年度评估要求，组织可以使用来自以下来源的评估结果：初始或持续的系统授权、持续监控、系统工程流程或系统开发生命周期活动。组织确保评估结果是最新的、与控制有效性判断相关，并且是在适当的评估者独立性水平下获得的。现有的控制评估结果在结果仍然有效的情况下可以重复使用，并且根据需要可以辅以额外的评估。在初始授权之后，组织在持续监控期间评估控制措施。组织还根据组织的持续监控策略确定持续评估的频率。外部审计，包括监管机构等外部实体的审计，不在 CA-2 的范围内。

对物理访问点进行渗透测试可以提供关于组织系统操作环境中关键漏洞的信息。这些信息可用于纠正物理控制中的弱点或缺陷，从而保护组织系统的安全。

组织通过要求由具有适当独立性水平的评估人员进行评估来最大化控制评估的价值。所需独立性水平基于组织的持续监控策略。评估人员的独立性为监控过程提供了一定程度的公正性。为了实现这种公正性，评估人员不会与进行评估的组织产生相互或冲突的利益，不会评估自己的工作，不会担任所服务组织的管理层或员工，也不会为获取其服务的组织担任倡导者的角色。

独立评估员或评估团队是对系统进行公正评估的个人或组织。公正性意味着评估员在系统的开发、运行、维护或管理，以及控制有效性的确定方面，不存在任何实际或可能被认为的利益冲突。为了实现公正，评估人员不会与进行评估的组织产生共同或冲突的利益，不评估自己的工作，不以管理层或员工的身份在所服务的组织中任职，也不会将自己置于为获取其服务的组织进行倡导的立场上。独立评估可以由组织内部的相关部门提供，也可以外包给组织外部的公共或私营部门实体。授权官员根据系统的安全分类和/或对组织运营、组织资产或个人的风险来确定所需的独立性水平。授权官员还会确定评估人员的独立性水平是否足以保证结果可靠，并可用于做出可信的、基于风险的决策。评估人员独立性判断包括合同评估服务是否具有足够的独立性，例如系统所有者不直接参与合同流程或无法影响进行评估的评估人员的公正性。在系统设计和开发阶段，拥有独立评估人员类似于在设计评审中引入独立的主题专家（SME）。当拥有系统的组织规模较小，或组织结构要求评估必须由系统所有者所在的发展、运营或管理链中的人员进行时，可以通过确保评估结果由独立的专家团队进行仔细审查和分析来实现评估过程的独立性，从而验证结果的完整性、准确性、完整性和可靠性。为了支持授权决策以外的目的而进行的评估，如果由具有足够独立性的评估人员执行，更有可能可用于此类决策，从而减少重复评估的需要。

独立渗透测试人员或团队是指对组织系统进行公正渗透测试的个人或团体。公正性意味着渗透测试人员或团队在涉及渗透测试目标系统的开发、操作或管理方面，不存在实际或被认为的利益冲突。CA-2(1) 提供了有关可应用于渗透测试的独立评估的附加信息。

系统信息交换要求适用于两个或多个系统之间的信息交换。系统信息交换包括通过租用线路或虚拟专用网络的连接、与互联网服务提供商的连接、数据库共享或数据库交易信息的交换、与云服务的连接和交换、通过基于网络的服务进行的交换，或通过文件传输协议、网络协议进行的文件交换（例如）IPv4、IPv6、电子邮件或其他组织间的通信。组织会考虑在系统与可能具有不同安全和隐私要求及控制的其他系统交换信息时，可能引入的新威胁或增加的风险。这包括组织内部的系统以及组织外部的系统。如 CA-6(1) 或 CA-6(2) 所述，系统信息交换的联合授权可能有助于沟通并降低风险。授权官员确定与系统信息交换相关的风险以及为适当风险缓解所需的控制措施。所选择的协议类型基于诸如所交换信息的影响程度、交换信息的组织之间的关系等因素（例如政府对政府、政府对企业、企业对企业、政府或企业对服务提供者、政府或企业对个人），或是其他系统用户对组织系统的访问级别。如果交换信息的系统具有相同的授权官员，组织无需制定协议。相反，应关注系统之间的接口特性（例如在各自的安全和隐私计划中，描述了信息如何交换以及信息如何得到保护。如果交换信息的系统在同一组织内有不同的授权官员，组织可以制定协议或在各系统的相应安全和隐私计划中提供相同的信息，这些信息将会在适当的CA-3a协议类型中提供。组织可以将协议信息纳入正式合同，特别是针对联邦机构与非联邦组织（包括服务提供商、承包商、系统开发人员和系统集成商）之间建立的信息交换。风险考虑包括共享相同网络的系统。

内部系统连接是组织系统与独立组成系统组件之间的连接（即属于同一系统的组件之间的连接），包括用于系统开发的组件。系统内部连接包括与移动设备、笔记本和台式计算机、平板电脑、打印机、复印机、传真机、扫描仪、传感器和服务器的连接。组织可以不必对每个内部系统连接单独授权，而是可以对具有共同特征和/或配置的一类系统组件的内部连接进行授权，包括具有指定处理、传输和存储能力的打印机、扫描仪和复印机，或具有特定基础配置的智能手机和平板电脑。从是否为组织使命或业务功能提供支持的角度，审查了对内部系统连接的持续需求。

分配多个授权官员，其中至少有一名来自外部机构，作为系统的共同授权官员，可以提高基于风险的决策过程的独立性。这实施了适用于系统授权过程的职责分离和双重授权的概念。当外部组织在授权决策结果中具有既得利益或权益时，可能有必要聘用来自外部组织的授权官员来补充拥有或托管系统的组织的授权官员。跨机构联合授权流程适用于互联系统、共享系统或服务，以及拥有多个信息所有者的系统。外部组织的授权官员是正在进行授权的系统的关键利益相关者。

指派来自同一组织的多个授权官员作为系统的共同授权官员，可以提高基于风险的决策过程中的独立性。这也在系统授权过程中贯彻了职责分离和双重授权的理念。组织内部联合授权流程与联网系统、共享系统以及拥有多个信息所有者的系统最为相关。

组织可能依赖其他（外部）组织对其组织系统的控制评估。使用此类评估并重复利用已有的评估证据，可以通过减少组织需要执行的独立评估活动，从而降低评估所需的时间和资源。组织在决定是否接受外部机构的评估结果时考虑的因素可能各不相同。这些因素包括该组织以往与进行评估的组织的经验、评估组织的声誉、所提供的支持性评估证据的详细程度，以及适用法律、行政命令、指令、法规、政策、标准和指南所施加的要求。支持通用准则计划 [ISO 15408-1]、美国国家标准与技术研究院密码模块验证计划（CMVP）或美国国家标准与技术研究院密码算法验证计划（CAVP）的认证测试实验室可以提供独立评估结果，组织可以利用这些结果。

渗透测试是一种针对系统或系统组件进行的专业评估，旨在识别可能被对手利用的漏洞。渗透测试超越了自动化漏洞扫描，由具备技术专长的个体或团队进行，他们在网络、操作系统和/或应用级别安全方面拥有可证明的技能和经验。渗透测试可用于验证漏洞或确定系统在特定限制条件下对敌手的抵御能力。这些限制包括时间、资源和技能。渗透测试试图复制敌手的行为，并提供对安全和隐私相关弱点或缺陷的更深入分析。渗透测试在组织从旧技术向新技术过渡时尤其重要（例如，从 IPv4 网络协议过渡到 IPv6 网络协议）。组织可以利用漏洞分析的结果来支持渗透测试活动。渗透测试可以在系统的硬件、软件或固件组件上进行，既可以由内部进行，也可以由外部进行，并且可以测试物理和技术控制措施。渗透测试的标准方法包括基于对系统全面了解的测试前分析、根据测试前分析进行的潜在漏洞识别，以及旨在确定漏洞可利用性的测试。所有各方在开始渗透测试情景之前都会同意交战规则。组织将渗透测试的交战规则与预期对手可能使用的工具、技术和程序相关联。渗透测试可能会导致受法律或法规保护的信息被进行测试的人员接触到。可以使用交战规则、合同或其他适当的机制来传达如何保护这些信息的期望。风险评估指导关于进行渗透测试的人员所需独立性水平的决策。

行动计划和里程碑对于任何类型的组织跟踪计划的补救措施都是有用的。行动计划和里程碑是授权包所必需的，并且需遵守由管理和预算办公室（OMB）制定的联邦报告要求。

评估、授权和监控政策与程序涵盖了在系统和组织中实施的 CA 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策与程序有助于确保安全性和隐私性。因此，安全和隐私项目在制定评估、授权和监控的政策与程序时进行协作是非常重要的。一般来说，组织层面的安全和隐私项目政策与程序是更可取的，并且可能不需要特定任务或系统的政策与程序。该政策可以作为一般安全和隐私政策的一部分，或者通过多项政策来体现组织的复杂性。如果需要，可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能促使评估、授权和监控政策及程序更新的事件包括评估或审计发现、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。

红队演练通过检查组织的安全和隐私状况以及实施有效网络防御的能力，扩展了渗透测试的目标。红队演练模拟对手试图破坏任务和业务功能的行为，并提供对系统和组织的安全与隐私状况的全面评估。此类尝试可能包括基于技术的攻击和基于社会工程学的攻击。基于技术的攻击包括与硬件、软件或固件组件以及/或任务和业务流程的交互。基于社会工程学的攻击包括通过电子邮件、电话、偷看或个人对话进行的交互。红队演练在由具有当前对抗战术、技术、程序和工具知识及经验的渗透测试人员和团队进行时效果最佳。虽然渗透测试主要是基于实验室的测试，但组织可以利用红队演练提供更全面的评估，以反映真实世界的情况。红队演习的结果可以被组织用来提高安全性和隐私意识及培训，并评估控制措施的有效性。

风险监控由既定的组织风险容忍度提供依据。有效性监控确定已实施风险应对措施的持续有效性。合规性监控验证所需的风险应对措施是否已实施，同时验证安全性和隐私要求是否得到满足。变更监控识别可能影响安全和隐私风险的组织系统及操作环境的变化。

组织可以进行专业评估，包括验证与确认、系统监控、内部威胁评估、恶意用户测试以及其他形式的测试。这些评估可以通过训练组织能力并显示当前的绩效水平来提升准备度，从而集中采取行动以改善安全性和隐私性。组织根据适用的法律、行政命令、指令、法规、政策、标准和指南进行专业评估。授权官员在与组织风险执行职能协调后批准评估方法。组织可以将评估中发现的漏洞纳入漏洞修复流程。专业评估也可以在系统开发生命周期的早期阶段进行（例如，在初始设计、开发和单元测试期间）。

为了防止未授权的个人和系统向受保护系统进行信息传输，受保护系统通过独立手段验证尝试传输信息的个人或系统是否被授权这样做。信息传输授权的验证同样适用于控制平面流量（例如路由和 DNS）和服务（例如经过身份验证的 SMTP 中继）。

传递性或“下游”信息交换是指组织系统与其交换信息的系统及其他系统之间的信息交换。对于任务关键的系统、服务和应用程序，包括高价值资产，有必要识别此类信息交换。直接或间接连接到组织系统的下游系统中控制或保护措施的透明度，对于理解这些信息交换所带来的安全和隐私风险至关重要。组织系统可能通过传递性连接和信息交换从下游系统继承风险，这可能使组织系统更容易受到威胁、危害和不利影响的影响。

趋势分析包括审查最新的威胁信息，这些信息涉及组织或联邦政府中发生的威胁事件类型、某些类型攻击的成功率、技术中出现的新漏洞、不断演变的社会工程技术、配置设置的有效性、多个控制评估的结果，以及监察长的调查结果或审计师。

对系统具有特权访问权限的个人或角色，如果他们也是该系统审计的对象，可能会通过阻碍审计活动或修改审计记录来影响审计信息的可靠性。要求将特权访问进一步区分为与审计相关的特权和其他特权，可以限制具有审计相关特权的用户或角色数量。

在审核记录中添加生成信息的能力取决于系统配置审核记录内容的功能。组织可以考虑在审核记录中包含额外的信息，包括但不限于访问控制或流程控制规则的调用情况，以及组账户用户的个人身份。组织还可以考虑将额外的审计记录信息限制为仅审计要求明确需要的信息。这有助于审计跟踪和审计日志的使用，因为不会在审计记录中包含可能引起误导、增加查找相关信息难度或增加个人隐私风险的信息。

由于备用审计日志功能可能是一个短期保护解决方案，用于在主要审计日志功能出现故障时采取的临时措施，组织可以决定备用审计日志功能只需要提供受故障影响的主要审计日志功能的一个子集。

将身份与信息绑定支持审计要求，使组织人员在信息传输时能够确定谁产生了特定信息。组织根据信息的安全类别和其他相关风险因素来确定并批准信息生产者与信息之间属性绑定的强度。

组织在分配审计日志存储容量时，会考虑要执行的审计日志类型以及审计日志处理要求。分配足够的审计日志存储容量可以降低容量超出限制，从而可能导致审计日志功能丧失或减少的风险。

审计记录可以从许多不同的系统组件生成。AU-2d 中指定的事件类型是需要生成审计日志的事件类型，它们是系统可以生成审计记录的所有事件类型的一个子集。

审计记录简化是一个处理收集到的审计日志信息并将其组织成对分析人员更有意义的摘要格式的过程。审计记录简化和报告生成能力并不总是来自同一个系统或执行审计日志记录活动的同一组织实体。审计记录缩减功能包括使用先进数据筛选器的现代数据挖掘技术，以识别审计记录中的异常行为。系统提供的报告生成能力可以生成可自定义的报告。如果记录中的时间戳粒度不足，审计记录的时间排序可能会成为问题。

组织保留审计记录，直到确定这些记录不再用于行政、法律、审计或其他运营目的。这包括审计记录的保留与可用性，以应对《信息自由法》(FOIA) 请求、传票和执法行动。各组织会针对不同类型的行为制定标准的审计记录类别，并为每种类型的行为制定标准的响应流程。美国国家档案和记录管理局（NARA）的一般记录计划提供了联邦档案保管政策。

审计记录的审查、分析和报告涵盖组织执行的信息安全和隐私相关的日志记录，包括因监控账户使用情况、远程访问、无线连接、移动设备连接、配置设置、系统组件清单、维护工具使用及非本地维护、物理访问、温湿度、设备交付与移除、系统接口的通信以及移动代码或基于互联网协议的语音（VoIP）使用而生成的日志记录。调查结果可以报告给包括事件响应团队、帮助台以及安全或隐私办公室在内的组织实体。如果组织被禁止审查和分析审计记录或无法进行此类活动，则审查或分析可以由获授权的其他组织进行。根据收到的新信息，审计记录的审查、分析和报告的频率、范围和/或深度可以进行调整以满足组织需求。

受益于综合审计记录审查、分析和报告的组织流程包括事件响应、持续监控、应急计划、对可疑活动的调查与应对，以及监察长审计。

感兴趣的事件可以通过审计记录的内容来识别，包括涉及的系统资源、访问的信息对象、个人身份、事件类型、事件地点、事件日期和时间、涉及的互联网协议地址，或事件的成功与失败情况。组织可以根据所需的细化程度定义事件标准，例如，可以按通用网络位置或特定系统组件选择位置。

用于集中审查和分析的自动化机制包括安全信息与事件管理产品。

证据保管链是一个追踪证据在收集、保管和分析生命周期中移动的过程，通过记录每个处理证据的个人、收集或转移证据的日期和时间以及转移的目的来实现。如果审阅者是人类，或者审阅功能是自动化的但与发布或转移功能分开，系统会将要发布信息的审阅者身份与信息及信息标签关联起来。在人工审查的情况下，维护审查员或发布者的资质为组织提供了识别谁审查和发布信息的手段。在自动化审查的情况下，它确保只使用经过批准的审查功能。

允许授权人员对系统日志进行更改，使组织能够根据需要扩展或限制日志记录，以满足组织要求。为了节约系统资源而限制的日志记录，可以在某些威胁情况下进行扩展（无论是临时还是永久）。此外，日志记录可能仅限于特定类型的事件，以便简化审计、分析和报告。组织可以设定日志记录操作发生变化的时间阈值（例如，接近实时、几分钟内或几小时内）。

如果审计日志信息被确定超过系统审计日志功能的存储容量，组织有能力拒绝或延迟处理网络通信流量。拒绝或延迟的响应是由已建立的组织流量阈值触发的，这些阈值可以根据审计日志存储容量的变化进行调整。

可能需要支持审计功能的审计记录内容包括事件描述（项目 a）、时间戳（项目 b）、源和目标地址（项目 c）、用户或进程标识符（项目 d 和 f）、成功或失败指示（项目 e）以及涉及的文件名（项目 a、c、e 和 f）。事件结果包括事件成功或失败的指标以及事件特定的结果，例如事件发生后系统的安全性和隐私状况。组织会考虑审计记录如何可能泄露个人信息，从而产生隐私风险，以及如何最好地减轻这些风险。例如，审计跟踪中有可能泄露个人身份信息，尤其是当跟踪记录输入内容或基于使用模式或时间时。

全组织的态势感知包括对风险管理三个层次（即组织层面、任务/业务流程层面和信息系统层面）的意识，并支持跨组织的意识。

非技术性来源包括记录组织政策违反情况的档案，这些档案涉及骚扰事件和信息资产的不当使用。这类信息可以引导有针对性的分析工作，以检测潜在的恶意内部人员活动。由于其敏感性，组织会限制从非技术性来源获取的信息的访问。有限的访问可以最大限度地减少将与隐私相关的信息意外泄露给无需要知情的个人的可能性。来自非技术来源的信息与审计记录信息的关联通常仅在怀疑某人卷入某事件时发生。组织在采取此类行动之前会先寻求法律建议。

将实体审计记录信息与系统审计记录进行关联，可能有助于组织识别可疑行为或支持此类行为的证据。例如，将个人在逻辑访问某些系统时的身份与该个人在逻辑访问发生时出现在设施中的附加物理安全信息相关联，可能在调查中非常有用。

当组织使用外部组织的系统或服务时，审计记录功能需要跨组织的协调方法。例如，在组织边界内维护请求特定服务的个人身份通常是困难的，并且这样做可能会对性能和隐私产生重大影响。因此，跨组织的审计日志往往仅记录在初始系统中发出请求的个人身份，后续系统则记录这些请求是由授权人员发出的。组织通常会考虑在信息交换协议中包括协调审计信息需求和保护审计信息的流程。

用于保护审计信息完整性的密码机制包括使用非对称加密的签名哈希函数。这使得可以分发公钥以验证哈希信息，同时保持用于生成哈希的密钥的机密性。

在审计追踪中保留身份信息可能会带来隐私影响，例如使对个人进行跟踪和分析成为可能，但在操作上可能并非必要。当信息跨组织边界传输时，这些风险可能会进一步加剧。实施增强隐私的加密技术可以将个人与审计信息分离，降低隐私风险，同时保持问责性。

组织可能会针对不同类型的审计信息选择不同的选择方案。双重授权机制（也称为两人控制）要求两名授权人员批准才能执行审计功能。为了降低合谋风险，组织会考虑将双重授权职责轮换给其他人员。在需要立即响应以确保公众和环境安全的情况下，组织不需要双重授权机制。

事件是系统中可观察到的现象。需要记录的事件类型是那些对系统安全和个人隐私具有重要意义和相关性的事件。事件记录还支持特定的监控和审计需求。事件类型包括密码更改、登录失败或与系统相关的访问失败，安全或隐私属性变更、管理权限使用、PIV 凭证使用、数据操作更改、查询参数或外部凭证使用。在确定需要记录的事件类型时，组织会根据将要实施的每项控制措施，考虑相应的监控和审计需求。为了完整性，事件记录包括系统运行并支持的所有协议。为了在监控和审计需求与其他系统需求之间取得平衡，事件记录需要确定在特定时间记录的事件类型子集。例如，组织可能会确定系统需要具备记录每次文件访问（无论成功与否）的能力，但由于可能对系统性能造成负担，只有在特定情况下才会启用该功能。组织希望记录的事件类型可能会发生变化。审查和更新已记录的事件集是必要的，以帮助确保这些事件保持相关性，并继续支持组织的需求。组织会考虑记录事件的类型如何可能揭示关于个人的信息，从而产生隐私风险，以及如何最好地减轻此类风险。例如，审计跟踪中可能会泄露个人可识别信息，特别是如果日志记录事件是基于模式或使用时间时。事件日志记录要求，包括记录特定事件类型的需求，可能在其他控制措施和控制增强中有所涉及。这些包括 AC-2(4)、AC-3(10)、AC-6(9)、AC-17(1)、CM-3f、CM-5(1)、IA-3(3)。b)、MA-4(1)、MP-4(2)、PE-3、PM-21、PT-7、RA-8、SC-7(9)、SC-7(15)、SI-3(8)、SI-4(22)、SI-7(8) 和 SI-10(1)。组织包括适用法律、行政命令、指令、政策、规章、标准和指南要求的事件类型。审计记录可以在各个层级生成，包括在信息通过网络时的数据包层级。选择适当的事件日志记录级别是监控和审计能力的重要组成部分，并且可以帮助识别问题的根本原因。在定义事件类型时，组织会考虑覆盖相关事件类型所需的日志记录，例如分布式、基于事务的流程中的步骤以及面向服务的架构中发生的操作。

对特权命令的全文分析需要一个独立的环境，用于分析与特权用户相关的审计记录信息，而不会在用户具有提升权限的系统上泄露这些信息，包括执行特权命令的能力。全文分析是指考虑特权命令全文的分析（即而不是仅考虑命令名称的分析。全文分析包括模式匹配和启发式方法的使用。

将审计追踪记录写入硬件强制执行的只写介质适用于审计追踪的初始生成（即表示用于检测、分析和报告的审计记录集合）以及这些审计追踪的备份。将审计追踪写入硬件强制的一次性可写介质并不适用于在写入审计追踪之前生成的初始审计记录。一次写入、多次读取（WORM）介质包括可记录光盘（CD-R）、可记录蓝光光盘（BD-R）和可记录数字多功能光盘（DVD-R）。相比之下，使用可切换写保护的介质，例如磁带盒、通用串行总线（USB）驱动器、可重写光盘（CD-RW）和数字多功能光盘可读写（DVD-RW），会导致介质具有写保护功能，但不是一次性写入介质。

身份保留适用于需要能够将跨组织边界执行的操作追踪到特定个人的情况。

审计记录的综合分析不需要进行漏洞扫描、性能数据生成或系统监控。相反，综合分析要求将扫描、监控或其他数据收集活动产生的信息分析与审计记录信息的分析相结合。安全信息与事件管理工具可以促进来自多个系统组件的审计记录汇总或整合，以及审计记录的关联和分析。使用由组织开发的标准化审计记录分析脚本（必要时进行本地化脚本调整）可以为分析收集到的审计记录信息提供更具成本效益的方法。将审核记录信息与漏洞扫描信息相关联，对于确定系统漏洞扫描的真实性以及将攻击检测事件与扫描结果相关联非常重要。与性能数据的关联可以发现拒绝服务攻击或其他导致资源未经授权使用的攻击类型。与系统监控信息的关联可以帮助发现攻击，并更好地将审计信息与操作情况联系起来。

在审计记录中限制个人身份信息的使用，当这些信息对于操作目的不必要时，有助于降低系统产生的隐私风险水平。

组织需要访问和阅读需要长期保存（以年计）的审计记录。为了便于检索审计记录，采取的措施包括将记录转换为更新的格式、保留能够读取记录的设备以及保留帮助人员理解如何解读记录的必要文档。

未经授权的信息披露是一种数据泄露形式。开源信息包括社交网站、代码共享平台和代码仓库。组织信息的例子包括组织保留的可识别个人身份的信息或组织生成的专有信息。

不可抵赖所涵盖的个人行为类型包括创建信息、发送和接收消息以及批准信息。不可抵赖能够防止作者声称未创建某些文件、发送者声称未发送消息、接收者声称未接收消息以及签署者声称未签署文件的情况。不可抵赖性服务可用于确定信息是否源自某个人或某个人是否执行了特定操作（例如，发送电子邮件、签署合同、批准采购请求或接收特定信息）。组织通过采用各种技术或机制来获取不可抵赖性服务，包括数字签名和数字消息回执。

组织通过系统帐户管理活动，为与审计记录的审查、分析和报告相关的系统进程、角色和用户指定允许的操作。对审计记录信息指定允许的操作是一种执行最小权限原则的方式。允许的操作由系统强制执行，包括读取、写入、执行、追加和删除。

审计和问责政策与程序涉及在系统和组织中实施的 AU 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此，安全和隐私项目在制定审计和问责政策及程序时进行协作非常重要。通常情况下，组织层面的安全和隐私项目政策和程序是更可取的，并且可能不需要针对具体任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分，或者通过多项政策来体现组织的复杂性。如果需要，可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能导致审计和问责政策及程序更新的事件包括评估或审计发现、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。

审计信息包括成功审计系统活动所需的所有信息，例如审计记录、审计日志设置、审计报告以及可识别个人身份的信息。审计记录工具是用于执行系统审计和记录活动的程序和设备。审计信息的保护侧重于技术保护，并将访问和执行审计记录工具的能力限制在授权人员范围内。审计信息的物理保护通过媒介保护控制以及物理和环境保护控制来实现。

查询参数是个人或自动化系统提交给系统以检索数据的明确条件。对包含个人身份信息的数据集的查询参数进行审计，可以增强组织跟踪和理解授权人员访问、使用或共享个人身份信息的能力。

将特权用户或角色的权限限制为只读有助于限制此类用户或角色可能对组织造成的潜在损害，例如删除审计记录以掩盖恶意活动。

警报为组织提供紧急消息。实时警报以信息技术的速度提供这些消息（即从事件检测到警报发生的时间在几秒钟或更短）。

None.

审计日志记录过程的失败包括软件和硬件错误、审计日志捕获机制的故障以及审计日志存储容量的达到或超限。组织定义的措施包括覆盖最旧的审计记录、关闭系统以及停止生成审计记录。组织可以根据故障类型、故障位置、故障严重性或这些因素的组合，为审计日志处理失败定义额外的操作。当审计日志处理失败与存储相关时，将针对审计日志存储库（即）进行响应。审计日志存储的不同系统组件）、审计日志所在的系统、组织的总审计日志存储容量（即所有审计日志存储库的总和），或者三者兼有。组织可以决定在提醒指定角色或人员后不采取额外的行动。

定期审查当前正在监控的开源信息网站列表有助于确保所选网站仍然具有相关性。审查还提供了添加新的开源信息网站的机会，这些网站有可能提供组织信息未经授权披露的证据。受监控的网站列表可以通过其他可信信息来源的威胁情报进行指导和参考。

会话审计可以包括监控按键、跟踪访问的网站，以及记录信息和/或文件传输。会话审计功能是在事件日志记录的基础上实现的，可能涉及专门的会话捕获技术的实施。组织会考虑会话审计如何揭示可能引发隐私风险的个人信息，以及如何减轻这些风险。由于会话审计可能影响系统和网络性能，组织会在明确规定的情况下启用此功能（例如，组织怀疑某个特定个人）。组织会咨询法律顾问、公民自由官员和隐私官员，以确保任何法律、隐私、公民权利或公民自由相关的问题，包括个人身份信息的使用，都得到适当处理。

由于审计信息的分布式特性，跨组织共享审计信息对于有效分析正在进行的审计可能是必要的。例如，一个组织的审计记录可能无法提供足够的信息来判断其他组织中的个人是否适当使用了组织的信息资源。在某些情况下，只有个人所属的本国机构拥有做出此类判断的适当知识，因此需要在各机构之间共享审计信息。

组织确定哪些类型的审计日志记录失败可能触发自动系统关闭或降低操作性能。由于确保任务和业务的连续性非常重要，组织可能会判断审计日志记录失败的性质并不严重到需要完全关闭支持核心组织任务和业务功能的系统。在那些情况下，部分系统关闭或在能力降低的降级模式下运行可能是可行的替代方案。

遵循通用标准的审计记录有助于设备和系统之间的互操作性和信息交换。促进互操作性和信息交换有助于生成可以方便分析和关联的事件信息。如果日志机制不符合标准化格式，系统在汇总全系统审计追踪时可能会将单个审计记录转换为标准化格式。

组织可能在多个系统组件中分布有多个审计日志存储库，每个存储库的存储容量可能不同。

将审计信息存储在运行不同操作系统的系统组件上，可以降低系统特定漏洞导致审计记录被破坏的风险。

将审计记录存储在与被审计系统或系统组件分开的存储库中，有助于确保即使被审计系统受到破坏，也不会导致审计记录被同时破坏。将审计记录存储在单独的物理系统或组件上，也可以保持审计记录的机密性和完整性，并有助于将审计记录管理作为全组织范围的活动。将审计记录存储在单独的系统或组件上适用于初始生成、备份或长期存储审计记录。

在启动时自动启动会话审计有助于确保所收集的关于特定个人的信息是完整的，并且不会因恶意威胁行为者的篡改而受到损害。

如果单个审计记录中的时间戳可以可靠地与其他审计记录中的时间戳相关联，以在组织容差范围内实现记录的时间排序，则审计跟踪是时间相关的。

系统生成的时间戳包括日期和时间。时间通常以协调世界时（UTC）表示，这是格林威治标准时间（GMT）的现代延续，或者以与UTC有偏移的本地时间表示。时间测量的粒度是指系统时钟与参考时钟之间的同步程度（例如，时钟同步在几百毫秒或几十毫秒范围内）。组织可以为不同的系统组件定义不同的时间粒度。时间服务对于其他安全功能（如访问控制以及身份识别和认证）可能至关重要，这取决于用于支持这些功能的机制的性质。

审计日志转移，也称为卸载，是在审计日志存储容量有限的系统中常见的过程，从而支持审计日志的可用性。初始的审计日志存储仅以过渡方式使用，直到系统能够与分配用于审计日志存储的辅助或备用系统通信为止，此时审计日志将被转移。将审计日志转移到备用存储类似于 AU-9(2)，因为审计日志被转移到不同的实体。然而，选择 AU-9(2) 的目的是为了保护审计记录的机密性和完整性。组织可以选择增强控制，以获得增加审计日志存储容量的好处，同时保持审计记录和日志的机密性、完整性和可用性。

外部实体未经授权使用或复制组织信息可能对组织的运营和资产造成不利影响，包括声誉受损。这类活动可能包括敌对或恶意威胁行为者复制组织网站，试图冒充网站托管组织的行为。用于确定外部实体是否以未经授权的方式复制组织信息的发现工具、技术和流程包括扫描外部网站、监控社交媒体以及培训员工识别组织信息的未经授权使用。

自动化机制包括向组织提供通知和警报的商业服务，以及用于监控网站新帖的自动脚本。

验证信息生产者身份与信息的绑定可以防止信息在生产和审核之间被篡改。绑定的验证可以通过例如使用加密校验和的方式实现。组织需要确定验证是响应用户请求还是自动生成的。

验证信息审查者身份与信息在传输或释放点的绑定，可以防止在审查与传输或释放之间的信息被未经授权的篡改。绑定的验证可以通过使用加密校验和来实现。组织可以确定验证是响应用户请求还是自动生成的。

检测高级持续性威胁（APT）并预防成功攻击的有效方法是为个人提供特定的安全意识培训。威胁意识培训包括教育个人了解APT可能渗透组织的各种方式（例如，通过网站、电子邮件、广告弹窗、文章和社会工程学）。有效的培训包括识别可疑电子邮件的技巧、在不安全环境中使用可移动系统的方法，以及个人在家中可能成为攻击目标的情况。

由于威胁随着时间不断变化，组织提供的威胁素养培训也是动态的。此外，威胁素养培训并不是独立于支持组织使命和业务功能的系统操作之外进行的。

环境控制包括灭火和探测装置或系统、自动喷水灭火系统、手提灭火器、固定消防水带、烟雾探测器、温度或湿度控制、供暖、通风、空调以及设施内的电力。

潜在的内部威胁指标和可能的前兆行为包括过度、长期的工作不满；试图获取与工作职责无关的信息；无法解释地访问财务资源；欺凌或骚扰同事；职场暴力；以及其他严重违反政策、程序、指令、规章、规则或规范的行为。读写能力培训包括如何通过组织建立的渠道，并按照既定的政策和程序，传达员工和管理层对潜在内部威胁指标的关切。组织可以考虑根据岗位的不同定制内部威胁意识培训内容。例如，针对管理者的培训可能侧重于团队成员行为的变化，而针对员工的培训可能更侧重于一般性的观察。

组织为系统用户提供基础和高级的识字培训，包括测试用户知识水平的措施。组织根据特定的组织需求、人员被授权访问的系统以及工作环境（例如远程办公）来确定识字培训和意识提高的内容。内容包括对安全和隐私需求的理解，以及用户为维护安全和个人隐私所采取的行动，以及对可疑事件的应对。内容涉及操作安全的必要性以及个人身份信息的处理。提高意识的技术包括张贴海报、提供带有安全和隐私提醒的物品、显示登录屏幕消息、由组织官员发送电子邮件通知或公告，以及举办意识活动。初始培训后进行的素养培训，如AT-2a所述。1 的执行频率至少应符合适用的法律、指令、法规和政策的要求。后续的识字培训可以通过一次或多次简短的临时会议来完成，并包括关于最新攻击手法、组织安全和隐私政策的变化、修订后的安全与隐私期望，或初始培训中部分主题的信息。定期更新识字培训和意识内容有助于确保内容保持相关性。可能促使更新识字培训和意识内容的事件包括但不限于评估或审计结果、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。

物理安全控制包括物理访问控制设备、入侵检测警报、设施保安操作程序以及监控或监视设备。

意识和培训政策与程序涉及在系统和组织中实施的AT系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此，安全和隐私项目在制定意识和培训政策及程序时进行协作非常重要。通常，组织层面的安全和隐私项目政策和程序是可取的，并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分，或者通过多项政策来体现组织的复杂性。如果需要，可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能导致更新意识和培训政策与程序的事件包括评估或审计结果、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅简单重述控制措施并不构成组织政策或程序。

安全的实际演练包括针对软件开发人员的培训，这些培训涉及利用常见软件漏洞的模拟攻击，或针对高级领导或高管的定向或大型钓鱼攻击。隐私实操练习包括带有测验的模块，内容涉及在各种情境中识别和处理个人身份信息，或在进行隐私影响评估时的情景演练。

可识别个人身份信息的处理和透明度控制包括组织处理可识别个人身份信息的权限以及可识别个人身份信息的处理目的。针对联邦机构的基于角色的培训，涉及可能构成个人身份信息的信息类型以及与其处理相关的风险、注意事项和义务。此类培训还考虑了处理个人可识别信息的权限，这些信息在隐私政策和通知、记录系统通知、计算机匹配协议和通知、隐私影响评估、[PRIVACT] 声明、合同、信息共享协议、谅解备忘录以及/或其他文件中有记载。

组织根据个人的分配角色和职责，以及组织和人员被授权访问的系统的安全和隐私要求，来确定培训的内容，包括针对分配任务量身定制的技术培训。可能需要基于角色培训的职位包括高级领导或管理人员（例如机构负责人/首席执行官，首席信息官，风险管理高级负责人，机构高级信息安全官，机构高级隐私官员，系统所有者；授权官员；系统安全官员；隐私官员；采购和采购官员；企业架构师；系统工程师；软件开发人员；系统安全工程师；隐私工程师；系统、网络和数据库管理员；审计员；进行配置管理活动的人员；执行验证和确认活动的人员；有系统级软件访问权限的人员；控制评估员；负责应急计划和事件响应的人员；负责隐私管理的人员；以及有个人身份信息访问权限的人员。综合的基于角色的培训涵盖管理、操作和技术角色及职责，包括物理、人员和技术控制。基于角色的培训还包括针对已定义的安全和隐私角色的政策、程序、工具、方法和工件。组织提供必要的培训，使个人能够在组织安全和隐私计划的背景下履行与运营和供应链风险管理相关的职责。基于角色的培训也适用于为联邦机构提供服务的承包商。培训类型包括基于网络和计算机的培训、课堂式培训以及实践培训（包括微型培训）。定期更新基于角色的培训有助于确保内容保持相关性和有效性。可能导致基于角色的培训内容更新的事件包括但不限于评估或审计结果、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。

社会工程学是一种试图欺骗个人泄露信息或采取某种行动的方法，这些信息或行动可能被用来入侵、破坏或以其他方式对系统产生不利影响。社会工程学包括网络钓鱼、虚构借口、冒充、诱饵、互惠手段、话题劫持、社交媒体利用和尾随进入等手段。社会挖掘是试图收集有关组织的信息，这些信息可能被用来支持未来的攻击。素养培训包括关于如何通过组织的渠道，根据既定政策和程序，传达员工和管理层对潜在和实际社会工程及数据挖掘情况的关注的信息。

经过良好培训的员工队伍提供了另一种组织控制措施，可以作为纵深防御策略的一部分，用于防止恶意代码通过电子邮件或网络应用程序进入组织。员工接受培训以识别潜在可疑电子邮件的迹象（例如：收到意外的电子邮件、收到包含奇怪或语法错误的电子邮件，或收到来自陌生发件人的电子邮件，看起来像是来自已知的赞助商或承包商。人员还接受了如何应对可疑电子邮件或网络通信的培训。为了使这一流程有效运作，人员需接受培训并了解哪些行为构成可疑通信。对人员进行培训，使其能够识别系统中的异常行为，可以为组织提供恶意代码存在的早期警告。组织人员对异常行为的识别可以补充组织使用的恶意代码检测和防护工具及系统。

培训反馈包括意识培训结果和基于角色的培训结果。培训结果，特别是关键岗位人员的失败情况，可能表明存在潜在的严重问题。因此，重要的是让高级管理人员了解此类情况，以便他们能够采取适当的应对措施。培训反馈支持对 AT-2b 和 AT-3b 中描述的组织培训进行评估和更新。

专业培训的文档可以由各个主管根据组织的自主决定进行管理。国家档案和记录管理局为联邦机构提供有关档案保留的指导。

对系统的硬件、软件或固件组件的更改，或与系统相关的操作程序的更改，都可能对系统的安全性或个人隐私产生重大影响。因此，组织仅允许经过资质认证和授权的人员访问系统，以进行变更操作。访问限制包括物理和逻辑访问控制（参见 AC-3 和 PE-3）、软件库、工作流程自动化、媒体库、抽象层（即更改通过外部接口实现而不是直接在系统中实施）以及更改窗口（即更改仅在指定时间进行）。

识别负责管理系统组件的个人，确保所分配的组件得到妥善管理，并且在需要采取某些行动时（例如，当组件被确定为造成安全漏洞的来源、需要召回或更换，或需要重新安置时），组织能够联系到这些个人。

评估的配置和批准的偏差重点关注组织为系统组件建立的配置设置、已评估以确定是否符合所需配置设置的具体组件，以及从已建立的配置设置中获得的任何批准偏差。

未分配到系统的系统组件可能无法被管理、缺乏必要的保护，并可能成为组织的漏洞。

在组织中缺乏专门的配置管理团队的情况下，系统开发人员可能需要利用未直接参与系统开发或系统集成的人员来制定配置管理流程。这种职责分离确保组织在系统开发和集成过程与配置管理过程之间建立并保持足够的独立性，从而促进质量控制和更有效的监督。

授权的软件程序可以限制为特定版本或来自特定来源。为了促进全面的授权软件流程，并增强对绕过应用程序级授权软件的攻击的防护力度，软件程序可以被分解并在不同的细节层级进行监控。这些级别包括应用程序、应用程序编程接口、应用程序模块、脚本、系统进程、系统服务、内核函数、注册表、驱动程序和动态链接库。允许执行授权软件的概念也可以应用于用户操作、系统端口和协议、IP 地址/范围、网站以及 MAC 地址。组织会考虑使用数字签名、加密校验和或哈希函数来验证授权软件程序的完整性。授权软件的验证可以在执行之前或在系统启动时进行。网站授权 URL 的识别在 CA-3(5) 和 SC-7 中有所说明。

组织记录与应用配置更改相关的系统访问，以确保实施配置更改控制，并在组织发现任何未经授权的更改后支持事后行动。

自动化工具可以提高配置基线信息的准确性、一致性和可用性。自动化还可以提供数据聚合和数据关联功能、警报机制以及仪表板，以支持组织内基于风险的决策。

None.

组织使用自动化机制来执行和监控软件安装政策，以更快地检测和应对未经授权的软件安装，这可能是内部或外部恶意攻击的一个迹象。

使用自动化机制跟踪系统组件的位置可以提高组件清单的准确性。这种能力可以帮助组织快速识别已被攻破、出现漏洞或需要采取缓解措施的系统组件的位置及其负责人。如果涉及影响个人隐私的问题，跟踪机制的使用可以与机构高级官员协调，以保障隐私。

组织会在可行的范围内维护系统清单。例如，虚拟机可能很难监控，因为当未使用时，这类机器在网络上不可见。在这种情况下，组织会尽可能保持清单的更新、完整和准确，达到合理可行的程度。对于将系统组件清单和基线配置活动结合起来的组织，可以通过实施 CM-2(2) 来实现自动化维护。

自动化工具（例如，加固工具、基线配置工具）可以提高配置设置信息的准确性、一致性和可用性。自动化还可以提供数据聚合和数据关联功能、警报机制以及仪表盘，以支持组织内基于风险的决策制定。

自动化安全响应包括在配置项被未经授权修改时，停止选定的系统功能、停止系统处理，以及向组织人员发出警报或通知。

使用自动化工具有助于提高系统中信息定位能力的有效性和效率。自动化还帮助组织管理在信息定位活动中产生的数据，并在组织内部共享这些信息。自动化信息定位工具的输出可以用来指导和提供系统架构和设计决策的信息。

除了监控未经授权的远程连接和移动设备外，还会应用自动化的未经授权组件检测。对未经授权系统组件的监控可以持续进行，也可以通过定期扫描系统来实现。还可以使用自动化机制来防止未经授权组件的连接（见 CM-7(9)）。自动化机制可以在系统中或在独立的系统组件中实现。在获取和实施自动化机制时，组织会考虑这些机制是否依赖系统组件支持代理或请求者的能力才能被检测到，因为某些类型的组件没有或不能支持代理（例如，物联网设备、传感器）。例如，可以通过将未授权的系统组件放置在单独的域或子网中，或将此类组件隔离来实现隔离。这种类型的组件隔离通常被称为“沙箱化”。

帮助组织维持系统一致基线配置的自动化机制包括配置管理工具、硬件、软件、固件清单工具和网络管理工具。自动化工具可以在组织层面、任务和业务流程层面或系统层面使用，适用于工作站、服务器、笔记本电脑、网络组件或移动设备。工具可用于跟踪操作系统、应用程序、已安装软件类型以及当前补丁级别的版本号。通过实施 CM-8(2)，对结合系统组件清单和基线配置活动的组织，可以满足自动化对准确性和实时性的支持。

系统及系统组件的基线配置包括系统的连接性、操作性和通信方面的内容。基线配置是系统或系统中配置项的已记录、正式审查并达成一致的规格。基线配置作为未来构建、发布或系统变更的基础，包括安全和隐私控制的实施、操作程序、系统组件信息、网络拓扑以及组件在系统架构中的逻辑位置。随着组织系统的变化，维护基线配置需要创建新的基线。系统的基线配置反映了当前的企业架构。

二进制或机器可执行代码适用于所有二进制或机器可执行代码的来源，包括商业软件、固件和开源软件。组织在没有附带源代码或来源有限或没有保证的软件产品上，会评估潜在的安全影响。评估指出，没有提供源代码的软件产品可能难以进行审查、修复或扩展。此外，可能没有任何负责人代表组织进行这些修复。如果使用开源软件，评估则指出其可能没有任何保证，开源软件可能包含后门或恶意软件，并且可能没有可用的支持。

组织可以实施包含所有组织系统组件的集中式系统组件清单。集中式组件清单存储库为组织的硬件、软件和固件资产的核算提供了效率提升的机会。这样的存储库还可以帮助组织快速识别已被破坏、遭受入侵或需要采取缓解措施的组件的位置和负责人。组织确保最终的集中库存包含执行适当组件问责所需的系统特定信息。

在受保护的环境中执行代码适用于所有来源的二进制或机器可执行代码，包括商业软件、固件和开源软件。

组织系统的配置变更控制涉及系统性地提出、论证、实施、测试、审查和处理系统变更，包括系统升级和修改。配置变更控制包括对基线配置、系统配置项、操作程序、系统组件的配置设置、修复漏洞以及非计划或未经授权的变更的管理。管理系统配置变更的流程包括配置控制委员会或变更咨询委员会，这些委员会负责审核并批准所提议的变更。对于影响隐私风险的变更，隐私高级机构官员会更新隐私影响评估和记录系统通知。对于新系统或重大升级，组织会考虑在配置控制委员会或变更咨询委员会中包括来自开发组织的代表。变更审计包括在系统变更前后进行的活动以及实施这些变更所需的审计活动。另见 SA-10。

配置管理活动贯穿于系统开发生命周期。因此，存在开发阶段的配置管理活动（例如，代码和软件库的控制）以及运行阶段的配置管理活动（例如，已安装组件的控制及组件的配置方式）。配置管理计划在符合配置管理政策要求的同时，针对各个系统进行定制。配置管理计划定义了配置管理如何用于支持系统开发生命周期活动的流程和程序。配置管理计划是在系统开发生命周期的开发和获取阶段生成的。这些计划描述了如何通过变更管理流程推进变更；更新配置设置和基线；维护组件清单；控制开发、测试和运行环境；以及开发、发布和更新关键文档。组织可以使用模板来帮助确保配置管理计划的一致和及时开发及实施。模板可以代表组织的配置管理计划，并在系统基础上实施计划的子集。配置管理审批流程包括指定负责审核和批准系统变更建议的关键利益相关者，以及在实施系统变更之前进行安全和隐私影响分析的人员。配置项是系统组件，例如需要进行配置管理的硬件、软件、固件和文档。随着系统在系统开发生命周期中的推进，可能会识别出新的配置项，而一些现有的配置项可能不再需要进行配置控制。

配置设置是可以在系统的硬件、软件或固件组件中更改的参数，这些参数会影响系统的安全性、隐私或功能。可以定义配置设置的信息技术产品包括大型计算机、服务器、工作站、操作系统、移动设备、输入/输出设备、协议和应用程序。影响系统安全状况的参数包括注册表设置；账户、文件或目录权限设置；以及功能、协议、端口、服务和远程连接的设置。隐私参数是影响系统隐私状况的参数，包括满足其他隐私控制所需的参数。隐私参数包括访问控制设置、数据处理偏好以及处理和保留权限。组织会建立全组织范围的配置设置，随后为各系统派生具体的配置设置。已建立的设置成为系统配置基线的一部分。常见的安全配置（也称为安全配置清单、锁定和加固指南，以及安全参考指南）提供了公认的、标准化的和已建立的基准，这些基准规定了信息技术产品和平台的安全配置设置，以及配置这些产品或平台以满足操作要求的说明。常见的安全配置可以由各种组织制定，包括信息技术产品开发商、制造商、供应商、联邦机构、联盟、学术界、行业以及其他公共和私营部门的组织。在组织层面、任务和业务流程层面、系统层面或更高层面，包括监管机构，可能会要求实施通用的安全配置。常见的安全配置包括美国政府配置基准（USGCB）和安全技术实施指南（STIGs），这些会影响CM-6及其他控制措施的实施，例如AC-19和CM-7。安全内容自动化协议（SCAP）及其协议中定义的标准提供了一种有效的方法，用于唯一识别、跟踪和控制配置设置。

当已知系统或系统组件将位于组织外的高风险区域时，可以实施额外的控制措施以应对这些区域中增加的威胁。例如，组织可以对出差和回程人员使用的笔记本电脑采取相应的措施。操作包括确定关注的位置、定义组件所需的配置、确保组件在出发前按预期配置，并在出行完成后对组件进行控制。特别配置的笔记本电脑包括硬盘已清理的计算机、应用程序受限的计算机以及配置设置更严格的计算机。对旅行归来的移动设备实施的控制包括检查移动设备是否有物理篡改的迹象，以及清除和重装磁盘驱动器。保护移动设备上存储的信息在 MP（媒体保护）系列中有所涉及。

组织会识别那些可能存在来源问题或可能包含恶意代码的软件。对于这类软件，用户安装会在受限的操作环境中进行，以限制或控制可能执行的恶意代码造成的损害。

控制增强中提到的控制是指控制目录中的安全和隐私控制。无论采用何种加密机制，都有相应的流程和程序来管理这些机制。例如，如果系统组件使用证书进行身份识别和认证，则会实施一个流程来处理这些证书的过期问题。

数据操作是处理个人身份信息的系统操作。这类信息的处理涵盖整个信息生命周期，包括收集、生成、转换、使用、披露、保留和处置。系统数据操作的地图包括离散的数据操作、在数据操作中处理的个人身份信息元素、参与数据操作的系统组件以及系统组件的所有者或运营者。了解正在处理的个人身份信息（例如个人可识别信息的敏感性）、个人可识别信息的处理方式（例如，该数据操作是否对个人可见，或在系统的其他部分进行处理）、以及由谁进行处理（例如）个人对处理个人身份信息的实体可能有不同的隐私认知) 提供了多种评估系统产生的隐私风险程度的重要情境因素。数据映射可以用不同的方式展示，其详细程度可能根据组织的任务和业务需求而有所不同。数据地图可以是组织使用的任何系统设计工件的叠加。这张地图的开发可能需要隐私和安全程序之间的协调，以涉及所覆盖的数据操作以及被识别为系统一部分的组件。

为开发、测试和运营环境建立单独的基线配置可以保护系统免受与开发和测试活动相关的计划外或意外事件的影响。单独的基线配置使组织能够对每种类型的配置应用最合适的配置管理。例如，运营配置的管理通常强调稳定性的需求，而开发或测试配置的管理则需要更大的灵活性。测试环境的配置在可行的范围内尽量反映运营环境的配置，以便测试结果能够代表对运营系统所提出的更改。独立的基线配置不一定需要独立的物理环境。

组织采用双重授权，以帮助确保对选定系统组件和信息的任何更改，除非经过两位合格人员的批准和执行，否则无法进行。这两位人员具备判断拟议更改是否为已批准更改的正确实施所需的技能和专业知识。这些人员也对这些更改负有责任。双重授权也可能被称为两人控制。为了降低勾结的风险，组织会考虑将双重授权的职责轮换给其他人。系统级信息包括操作程序。

具有安全或隐私职责的组织人员进行影响分析。进行影响分析的个人具备必要的技能和技术专长，能够分析系统的变更以及对安全或隐私的影响。影响分析包括审查安全和隐私计划、政策及程序，以了解控制要求；审查系统设计文档和操作程序，以了解控制的实施情况以及特定系统更改可能如何影响控制；与利益相关者一起审查更改对组织供应链合作伙伴的影响；并确定系统的潜在更改如何对个人隐私造成新的风险，以及已实施的控制措施缓解这些风险的能力。影响分析还包括风险评估，以了解变更的影响并确定是否需要额外的控制措施。

信息位置关注于了解信息是在哪里被处理和存储的。信息位置包括识别特定类型的信息以及信息在系统组件中的存在位置，以及信息的处理方式，以便理解信息流动，并为这些信息和系统组件提供适当的保护和政策管理。信息的安全类别也是确定保护信息所需控制措施以及信息所在的系统组件的一个因素（参见 FIPS 199）。信息和系统组件的位置也是系统架构和设计的一个因素（参见 SA-4、SA-8、SA-17）。

系统提供各种功能和服务。某些默认常规提供的功能和服务可能并非支持关键组织任务、功能或操作所必需。此外，有时从单个系统组件提供多项服务是方便的，但这样做会增加风险，相比之下限制该单个组件提供的服务可降低风险。在可行的情况下，组织会将组件的功能限制为每个组件仅执行单一功能。组织还会考虑移除未使用或不必要的软件，禁用未使用或不必要的物理和逻辑端口及协议，以防止组件的未经授权连接、信息传输和隧道传输。组织使用网络扫描工具、入侵检测与防御系统以及端点保护技术（如防火墙和基于主机的入侵检测系统）来识别并阻止使用被禁止的功能、协议、端口和服务。最小功能性也可以作为系统基本设计和开发的一部分实现（参见SA-8、SC-2和SC-3）。

软件库包括特权程序。

开源软件是指以源代码形式提供的软件。某些通常归版权持有者所有的软件权利，通常会通过软件许可协议提供，允许个人研究、修改和改进软件。从安全的角度来看，开源软件的主要优势在于它使组织能够审查源代码。在某些情况下，与软件相关的在线社区会持续检查、测试、更新并报告软件中发现的问题。然而，修复开源软件中的漏洞可能存在困难。开源软件还可能涉及许可问题，包括对其衍生使用的限制。仅以二进制形式提供的开源软件可能会增加使用此类软件的风险水平。

组织会审查系统或系统组件提供的功能、端口、协议和服务，以确定可以被淘汰的功能和服务。这类审查在从旧技术向新技术过渡期间尤为重要（例如，从 IPv4 过渡到 IPv6）。这些技术过渡可能需要在过渡期间同时实施旧技术和新技术，并在尽早的机会下恢复到最低必要的功能、端口、协议和服务。组织可以自行决定功能、端口、协议和/或服务的相对安全性，也可以根据对其他实体的评估来做出安全决策。不安全的协议包括蓝牙、FTP 和点对点网络。

配置管理政策和程序涵盖在系统和组织中实施的CM系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此，安全和隐私项目在制定配置管理政策和程序时进行协作非常重要。通常情况下，组织层面的安全和隐私项目政策与程序是更可取的，并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为整体安全与隐私政策的一部分，也可以通过多项政策来体现组织的复杂性。如果需要，可以为安全和隐私计划、任务/业务流程以及系统建立相关程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能导致配置管理政策和程序更新的事件包括但不限于评估或审计发现、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。

系统配置更改可能会对关键的系统安全性和隐私功能产生不利影响。可以通过自动化机制来实施更改限制。

程序执行的预防涉及组织政策、行为规范和/或限制软件使用的访问协议，以及开发者或制造商施加的条款和条件，包括软件许可和版权。限制包括禁止自动执行功能、限制允许批准程序执行的角色、允许或禁止特定软件程序，或限制同时执行的程序实例数量。

在许多组织中，系统支持多项任务和业务功能。限制对操作系统的系统组件进行更改的权限是必要的，因为系统组件的更改可能对系统支持的任务和业务流程产生深远影响。在某些情况下，开发人员对系统与任务/业务流程之间的关系并不清楚。与系统相关的信息包括操作程序。

硬件组件为组织系统提供基础，并为经过授权的软件程序的执行提供平台。管理硬件组件的库存以及控制允许安装或连接到组织系统的硬件组件对于提供足够的安全性至关重要。

组织使用注册流程来管理、跟踪并监督系统及其已实施的功能、端口、协议和服务。

对未经授权的配置设置更改的响应包括提醒指定的组织人员、恢复既定的配置设置，或者在极端情况下停止受影响的系统处理。

保留基线配置的先前版本以支持回滚，包括硬件、软件、固件、配置文件、配置记录和相关文档。

可以通过组织在配置变更过程或持续监控过程中开展的活动，获取需审查系统变更的指征以及证明此类审查合理的具体情况。

信息安全和隐私代表包括系统安全官、高级机构信息安全官、高级机构隐私官或系统隐私官。由具有信息安全和隐私专业知识的人员进行代表非常重要，因为对系统配置的更改可能会产生意想不到的副作用，其中一些可能与安全或隐私相关。在过程早期检测此类变化可以帮助避免可能最终影响系统安全性和隐私状况的意外负面后果。在第二个组织定义的参数中提到的配置变更控制要素，反映了组织在 CM-3g 中定义的变更控制要素。

独立的测试环境需要一个在物理上或逻辑上与操作环境分离和独立的环境。分离的程度应足以确保测试环境中的活动不会影响操作环境中的活动，并且操作环境中的信息不会被意外传输到测试环境。可以通过物理或逻辑手段实现独立环境。如果没有实施物理独立的测试环境，组织在实施逻辑分离时需要确定所需机制的强度。

除非经过认可和批准的证书签名，否则软件和固件组件无法安装，这些组件包括软件和固件版本更新、补丁、服务包、设备驱动程序以及基本输入/输出系统更新。组织可以按类型、按特定项目或两者结合的方式识别适用的软件和固件组件。数字签名及对该签名的组织验证是一种代码认证的方法。

例如，通过担任系统管理员的角色可以获得特权状态。

软件许可证跟踪可以通过手动或自动方法实现，具体取决于组织的需求。合同协议的示例包括软件许可证协议和保密协议。

系统组件是离散的、可识别的信息技术资产，包括硬件、软件和固件。组织可以选择实施包含所有组织系统组件的集中系统组件清单。在这种情况下，组织需要确保清单包含组件问责所需的特定系统信息。有效追踪系统组件所需的信息包括系统名称、软件所有者、软件版本号、硬件清单规格、软件许可信息，以及对于网络组件，还包括使用的所有协议（如 IPv4、IPv6）下的机器名称和网络地址。库存规格包括收货日期、成本、型号、序列号、制造商、供应商信息、组件类型和物理位置。防止系统组件的重复核算可以解决在组件所有权和系统关联不明时产生的责任缺失问题，尤其是在大型或复杂的连接系统中。有效防止系统组件重复记账需要为每个组件使用唯一标识符。对于软件库存，通过其他系统访问的集中管理软件被视为安装和管理该软件的系统的一个组件。安装在多个组织系统上并在系统级别管理的软件，会针对每个单独的系统进行处理，并可能在集中组件清单中出现多次，因此需要在集中清单中为每个软件实例建立系统关联，以避免组件重复计数。扫描实现了多种网络协议的系统（例如IPv4 和 IPv6) 可能导致在不同地址空间中识别出重复的组件。实施 CM-8(7) 可以帮助消除组件的重复计数。

对系统的更改包括对硬件、软件或固件组件以及 CM-6 中定义的配置设置的修改。组织确保测试不会干扰支持组织任务和业务功能的系统操作。进行测试的个人或团体了解安全和隐私政策及程序、系统安全和隐私政策及程序，以及与特定设施或流程相关的健康、安全和环境风险。在进行测试之前，可能需要使操作系统脱机，或在可行范围内进行复制。如果系统必须下线进行测试，测试应尽可能安排在计划的系统停机期间进行。如果测试无法在运行系统上进行，组织将采用补偿性控制措施。

未经授权的软件程序可以限制为特定版本或来自特定来源。禁止执行未经授权的软件的概念也可以应用于用户操作、系统端口和协议、IP 地址/范围、网站和 MAC 地址。

如果在组件安装或移除过程中或在进行系统常规更新时更新系统组件清单，组织可以提高系统组件清单的准确性、完整性和一致性。如果在这些关键时刻没有更新清单，那么信息很可能无法被适当捕捉和记录。系统更新包括硬件、软件和固件组件。

如果拥有必要的权限，用户可以在组织系统中安装软件。为了控制安装的软件，组织会明确允许和禁止的软件安装行为。允许的软件安装包括对现有软件进行更新和安全补丁安装，以及从组织批准的“应用商店”下载新应用程序。禁止的软件安装包括来源不明或可疑的软件，或组织认为可能有恶意的软件。用于管理用户安装软件的政策由组织制定或由某些外部实体提供。政策的执行方法可以包括程序方法和自动化方法。

在此上下文中，实施是指在运行系统中安装已更改的代码，这些更改可能会影响安全或隐私控制。

区域性中断是指在地理范围上广泛的中断，这种判断由组织根据对风险的评估来做出。

应急计划以及与这些计划相关的应急培训或测试，将备用通信协议能力纳入其中，以建立组织系统的韧性。切换通信协议可能会影响软件应用程序和系统的操作方面。组织在实施之前会评估引入替代通信协议的潜在副作用。

组织可以选择开展应急规划活动，为备选处理和存储地点进行规划，这是业务连续性规划或业务影响分析的一部分。组织在应急规划中定义的主要处理和/或存储地点可能会根据应急相关的情况而发生变化。

备用处理站点在地理位置上与主处理站点不同，当主处理站点不可用时提供处理能力。备用处理能力可以通过物理处理站点或其他替代方案来实现，例如切换到基于云的服务提供商或其他内部或外部提供的处理服务。支持应急需求的地理分布式架构也可以被视为备用处理站点。备用处理站点协议涵盖的控制措施包括备用站点的环境条件、访问规则、物理和环境保护要求，以及人员调动和分配的协调。将需求分配到备用处理站点，这些站点在应急计划中反映了需求，以便在组织系统发生中断、损坏或故障时，仍能维持关键的任务和业务功能。

备份存储站点在地理位置上与主存储站点不同，并在主存储站点不可用时保存信息和数据的副本。同样，如果主处理站点不可用，备用处理站点提供处理能力。支持应急需求的地理分布架构可以被视为备用存储站点。替代存储地点协议涵盖的事项包括替代地点的环境条件、系统和设施的访问规则、物理和环境保护要求，以及备份介质的交付和取回协调。备用存储地点反映了应急计划中的要求，以便组织在组织系统受到破坏、故障或中断的情况下，仍能维持关键的任务和业务功能。

备用电信服务测试是通过与服务提供商签订合同安排的。测试可能会与正常操作同时进行，以确保组织的任务或功能不受影响。

使用替代安全机制有助于系统的弹性、应急计划和业务连续性。为了确保任务和业务的连续性，组织可以实施替代或补充的安全机制。这些机制的效果可能不如主要机制。然而，具备随时使用替代或补充机制的能力，可以增强任务和业务的连续性，否则如果必须暂停操作，直到恢复实施功能的主要方式，可能会受到不利影响。鉴于提供此类替代功能所需的成本和工作量，这些替代或补充机制仅适用于系统、系统组件或系统服务提供的关键安全功能。例如，如果多因素令牌——实现安全认证的标准手段——被破解，组织可能会向高级管理人员、官员和系统管理员发放一次性密码本。

自动化机制通过提供更全面的应急问题覆盖、选择更现实的测试场景和环境，以及有效地对系统及支持的任务和业务功能进行压力测试，从而促进应急计划的彻底和有效测试。

需要进行容量规划，因为不同的威胁可能导致可用的处理能力、电信和支持服务减少，而这些服务旨在支持关键的任务和业务功能。组织在应急操作期间会预计操作性能下降，并将这种下降考虑在容量规划中。在容量规划中，环境支持是指组织确定在紧急情况下需要提供支持的任何环境因素，即使是处于降级状态。此类判断基于对风险的组织评估、系统分类（影响级别）以及组织风险容忍度。

系统恢复和重建组件（即硬件、固件和软件）的保护包括物理和技术控制。用于恢复和重建的备份和还原组件包括路由表、编译器以及其他系统软件。

系统应急计划是实现组织任务和业务职能持续运转的整体计划的一部分。应急计划涉及在系统受损或被入侵时进行系统恢复以及实施替代的任务或业务流程。应急计划贯穿整个系统开发生命周期，并且是系统设计的一个基本部分。系统可以设计为冗余，以提供备份能力，并具备弹性。应急计划反映了组织系统所需的恢复程度，因为并非所有系统都需要完全恢复才能实现所期望的业务连续性水平。系统恢复目标反映了适用的法律、行政命令、指令、法规、政策、标准、指南、组织风险容忍度以及系统影响等级。应急计划中涉及的操作包括有序的系统降级、系统关闭、切换到手动模式、替代信息流，以及在系统受到攻击时保留的操作模式。通过将应急计划与事件处理活动协调起来，组织能够确保在发生事件时，必要的规划活动已到位并得以启动。组织需要考虑在事件期间维持业务连续性是否会与自动禁用系统的能力发生冲突，如 IR-4(5) 所规定。事件响应规划是组织应急计划的一部分，并在事件响应（IR）系列中进行处理。

测试应急预案以确定其有效性并识别潜在弱点的方法包括清单、演练和桌面演习、模拟（并行或全面中断）以及综合演习。组织根据应急计划中的要求进行测试，并包括对应急操作对组织运营、资产和个人影响的评估。组织在纠正措施的范围、深度和时间安排上具有灵活性和自主权。

组织提供的应急培训与组织人员的指定角色和职责相关，以确保培训中包含适当的内容和细节水平。例如，有些人可能只需要了解在应急行动期间何时何地报到，以及正常职责是否会受到影响；系统管理员可能需要接受额外培训，以了解如何在备用处理和存储站点建立系统；组织官员可能会接受更具体的培训，学习如何在指定的异地位置执行关键任务功能，以及如何与其他政府机构建立通信，以协调应急相关活动。针对应急角色或职责的培训反映了应急计划中的具体连续性要求。可能导致应急培训内容更新的事件包括但不限于应急预案测试或实际应急情况（经验教训）、评估或审计结果、安全或隐私事件，或法律、行政命令、指令、法规、政策、标准和指南的变化。根据组织的决定，参与应急计划测试或演练，包括测试或演练后的经验教训会议，可能符合应急计划培训要求。

组织可以选择开展应急规划活动，以在业务连续性规划或业务影响分析中继续执行任务和业务功能。组织在应急规划中定义的主要处理和/或存储地点可能会根据应急相关的情况而发生变化。

当一个组织执行其使命和业务功能的能力依赖于外部服务提供商时，制定全面且及时的应急计划可能会变得更加具有挑战性。当使命和业务职能依赖于外部服务提供商时，组织会与外部实体协调应急计划活动，以确保各个计划反映组织的整体应急需求。

与组织系统应急计划相关的计划包括业务连续性计划、灾难恢复计划、运营连续性计划、危机沟通计划、关键基础设施计划、网络事件响应计划以及占用者紧急情况计划。应急计划测试的协调不要求组织创建处理相关计划的组织元素，也不要求将这些元素与特定计划对齐。然而，如果这些组织元素负责相关计划，组织就需要与这些元素进行协调。

加密机制的选择是基于保护备份信息的机密性和完整性的需要。所选机制的强度与信息的安全类别或分级相适应。加密保护适用于存储在主备地点的系统备份信息。实施密码机制以保护静态信息的组织也会考虑密码密钥管理解决方案。

双重授权确保备份信息的删除或毁坏不会发生，除非由两名具备资格的人员执行此操作。删除或毁坏备份信息的人员具备判断拟删除或毁坏的信息是否符合组织政策和程序的技能或专业知识。双重授权也可能被称为两人控制。为了降低勾结风险，组织会考虑将双重授权职责轮换给其他人员。

恢复是执行应急计划活动以恢复组织的使命和业务功能。重建发生在恢复之后，包括将系统恢复到完全可操作状态的活动。组织为系统建立已知状态，其中包括硬件、软件程序和数据的系统状态信息。保存系统状态信息有助于系统重新启动，并使组织能够在对任务和业务流程干扰较小的情况下恢复到运行模式。

组织可以选择在关键性分析、业务连续性规划或业务影响分析中识别关键资产。组织识别关键系统资产的目的是为了能够采用额外的控制措施（超出常规实施的控制措施），以帮助确保在应急操作期间，组织的使命和业务功能能够持续进行。关键信息资产的识别还促进了组织资源的优先分配。关键系统资产包括技术和运营方面。技术方面包括系统组件、信息技术服务、信息技术产品和机制。运营方面包括程序（即手动执行的操作）和人员（即（操作技术控制和/或执行手动程序的个人）。组织的项目保护计划可以帮助识别关键资产。如果关键资产存在于外部服务提供商处或由其支持，组织应考虑将 CP-2(7) 作为控制增强措施实施。

可能会出现一些情况，使得组织无法返回主要处理地点，例如如果自然灾害（如洪水或飓风）损坏或毁坏了设施，并且确定在同一地点重建是不明智的。

运营机制是指为实现组织目标而建立的流程，或支持特定组织使命或业务目标的系统。实际的任务和业务流程、系统和/或设施可以用于生成模拟事件，并在应急训练中增强模拟事件的真实性。