NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

配置设置是可以在系统的硬件、软件或固件组件中更改的参数，这些参数会影响系统的安全性、隐私或功能。可以定义配置设置的信息技术产品包括大型计算机、服务器、工作站、操作系统、移动设备、输入/输出设备、协议和应用程序。影响系统安全状况的参数包括注册表设置；账户、文件或目录权限设置；以及功能、协议、端口、服务和远程连接的设置。隐私参数是影响系统隐私状况的参数，包括满足其他隐私控制所需的参数。隐私参数包括访问控制设置、数据处理偏好以及处理和保留权限。组织会建立全组织范围的配置设置，随后为各系统派生具体的配置设置。已建立的设置成为系统配置基线的一部分。常见的安全配置（也称为安全配置清单、锁定和加固指南，以及安全参考指南）提供了公认的、标准化的和已建立的基准，这些基准规定了信息技术产品和平台的安全配置设置，以及配置这些产品或平台以满足操作要求的说明。常见的安全配置可以由各种组织制定，包括信息技术产品开发商、制造商、供应商、联邦机构、联盟、学术界、行业以及其他公共和私营部门的组织。在组织层面、任务和业务流程层面、系统层面或更高层面，包括监管机构，可能会要求实施通用的安全配置。常见的安全配置包括美国政府配置基准（USGCB）和安全技术实施指南（STIGs），这些会影响CM-6及其他控制措施的实施，例如AC-19和CM-7。安全内容自动化协议（SCAP）及其协议中定义的标准提供了一种有效的方法，用于唯一识别、跟踪和控制配置设置。