NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织可以进行专业评估，包括验证与确认、系统监控、内部威胁评估、恶意用户测试以及其他形式的测试。这些评估可以通过训练组织能力并显示当前的绩效水平来提升准备度，从而集中采取行动以改善安全性和隐私性。组织根据适用的法律、行政命令、指令、法规、政策、标准和指南进行专业评估。授权官员在与组织风险执行职能协调后批准评估方法。组织可以将评估中发现的漏洞纳入漏洞修复流程。专业评估也可以在系统开发生命周期的早期阶段进行（例如，在初始设计、开发和单元测试期间）。