NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

移动设备是一种计算设备，具有小型外形，因此可以由单个个体轻松携带；设计时无需物理连接即可操作；拥有本地、不可拆卸或可拆卸的数据存储；并且包含独立的电源。移动设备的功能还可能包括语音通信能力、允许设备捕捉信息的内置传感器，和/或用于将本地数据与远程位置同步的内置功能。示例包括智能手机和平板电脑。移动设备通常与单个个人相关联。移动设备的处理、存储和传输能力可能与笔记本或台式系统相当，也可能只是其一部分，这取决于设备的性质和预期用途。移动设备的保护和控制依赖于行为或政策，并且需要用户在设备处于受控区域之外时采取实际措施来保护和控制这些设备。受控区域是指组织为了符合保护信息和系统的要求而提供物理或程序控制的空间。由于移动设备种类繁多，具有不同的特性和功能，组织对这些设备的不同类别或类型可能会有不同的限制。移动设备的使用限制和具体实施指南包括配置管理、设备识别和认证、强制性保护软件的实施、扫描设备中的恶意代码、更新病毒防护软件、扫描关键软件更新和补丁、进行主要操作系统（以及可能的其他驻留软件）完整性检查，以及禁用不必要的硬件。使用限制和连接授权可能因组织系统而异。例如，组织可能会授权将移动设备连接到组织网络，并施加一系列使用限制，而系统所有者可能会拒绝授权移动设备连接特定应用程序，或者在允许移动设备连接系统之前施加额外的使用限制。对移动设备的充分安全保障超出了 AC-19 中规定的要求。许多移动设备的控制措施在初始控制基线中已体现，并作为使用定制流程开发安全计划和覆盖方案的起点。不同控制类别中的安全控制之间也可能存在一些重叠。AC-20 适用于未由组织控制的移动设备。