NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织确保控制评估人员具备必要的技能和技术专长，以制定有效的评估计划，并在适当情况下对系统特定、混合、通用及项目管理控制进行评估。所需的技能包括对风险管理概念和方法的一般知识，以及对所实施的硬件、软件和固件系统组件的全面了解和经验。组织在初始和持续授权、持续监控、FISMA年度评估、系统设计与开发、系统安全工程、隐私工程以及系统开发生命周期等环节，会评估系统及其运行环境中的控制措施。评估有助于确保组织满足信息安全和隐私要求，识别系统设计和开发过程中存在的弱点和缺陷，提供进行基于风险的决策（作为授权流程一部分）所需的重要信息，并遵守漏洞缓解程序。组织会根据安全和隐私计划中记录的内容，对已实施的控制措施进行评估。评估还可以在系统开发生命周期的各个阶段进行，作为系统工程和系统安全工程过程的一部分。在制定请求提案（RFP）、评估响应以及进行设计审查时，也可以对控制措施的设计进行评估。如果在开发过程中对实施控制的设计及按照该设计进行的后续实施进行评估，则最终控制测试可以通过利用先前完成的控制评估并汇总结果进行简单确认。组织可以为系统制定一个统一的、综合的安全和隐私评估计划，或者保持单独的计划。综合评估计划清楚地划分了控制评估的角色和责任。如果多个组织参与系统评估，协调的方法可以减少重复工作及相关成本。组织可以使用其他类型的评估活动，例如漏洞扫描和系统监控，以在系统生命周期内维护系统的安全性和隐私状况。评估报告详细记录评估结果，根据组织的需求判断，以确定报告的准确性和完整性，以及控制措施是否得到正确实施、按照预期运行，并在满足要求方面产生预期的结果。评估结果会提供给适合所进行评估类型的个人或角色。例如，为支持授权决策而进行的评估，会提供给授权官员、隐私高级机构官员、高级机构信息安全官员以及授权官员指定的代表。为了满足年度评估要求，组织可以使用来自以下来源的评估结果：初始或持续的系统授权、持续监控、系统工程流程或系统开发生命周期活动。组织确保评估结果是最新的、与控制有效性判断相关，并且是在适当的评估者独立性水平下获得的。现有的控制评估结果在结果仍然有效的情况下可以重复使用，并且根据需要可以辅以额外的评估。在初始授权之后，组织在持续监控期间评估控制措施。组织还根据组织的持续监控策略确定持续评估的频率。外部审计，包括监管机构等外部实体的审计，不在 CA-2 的范围内。