NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

外部系统是指由组织使用但不属于组织系统的一部分，组织无法直接控制所需控制的实施或控制有效性的评估的系统。外部系统包括个人拥有的系统、组件或设备；商业或公共设施中私人拥有的计算和通信设备；由非联邦组织拥有或控制的系统；由承包商管理的系统；以及不归组织拥有、操作或直接监管的联邦信息系统。外部系统还包括同一组织内其他部门拥有或操作的系统，以及组织内拥有不同授权边界的系统。组织可以选择禁止使用任何类型的外部系统，或者禁止使用特定类型的外部系统（例如，禁止使用非组织拥有的任何外部系统，或禁止使用个人拥有的系统）。对于某些外部系统（即由其他组织运营的系统），这些组织与原始组织之间建立的信任关系可能使得不需要明确的条款和条件。这些组织内的系统可能不被视为外部系统。这些情况发生在例如组织或部门之间已经存在信息交换协议（无论是隐含的还是明确的），或者当适用的法律、行政命令、指令、法规、政策或标准规定了此类协议时。获授权的个人包括组织人员、承包商或其他具有组织系统授权访问权限的个人，组织有权对其施加关于系统访问的特定行为规则。组织对获授权个人施加的限制不必统一，因为这些限制可能会因组织之间的信任关系而有所不同。因此，组织可能会选择对承包商施加不同于州、地方或部落政府的安全限制。用于访问组织系统公共接口的外部系统不在 AC-20 的范围内。组织根据其安全政策和程序，为外部系统的使用制定具体条款和条件。至少，条款和条件应规定可以从外部系统访问的组织系统的具体应用类型，以及可以在外部系统上处理、存储或传输的最高安全类别的信息。如果无法与外部系统的所有者建立条款和条件，组织可能会对使用这些外部系统的组织人员施加限制。