NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

访问控制政策和程序涉及在系统和组织内实施的 AC 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此，安全和隐私项目在制定访问控制政策和程序时进行协作非常重要。通常情况下，组织层面的安全和隐私项目政策与程序是更可取的，并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为整体安全与隐私政策的一部分，也可以通过多项政策来体现，以反映组织的复杂性。如有需要，可以为安全与隐私计划、任务或业务流程以及系统制定相应的程序。程序描述了政策或控制措施是如何实施的，并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中，或记录在一个或多个单独的文档中。可能导致访问控制政策和程序更新的事件包括评估或审计发现、安全或隐私事件，或法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重述控制措施并不构成组织的政策或程序。