NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统组件是离散的、可识别的信息技术资产，包括硬件、软件和固件。组织可以选择实施包含所有组织系统组件的集中系统组件清单。在这种情况下，组织需要确保清单包含组件问责所需的特定系统信息。有效追踪系统组件所需的信息包括系统名称、软件所有者、软件版本号、硬件清单规格、软件许可信息，以及对于网络组件，还包括使用的所有协议（如 IPv4、IPv6）下的机器名称和网络地址。库存规格包括收货日期、成本、型号、序列号、制造商、供应商信息、组件类型和物理位置。防止系统组件的重复核算可以解决在组件所有权和系统关联不明时产生的责任缺失问题，尤其是在大型或复杂的连接系统中。有效防止系统组件重复记账需要为每个组件使用唯一标识符。对于软件库存，通过其他系统访问的集中管理软件被视为安装和管理该软件的系统的一个组件。安装在多个组织系统上并在系统级别管理的软件，会针对每个单独的系统进行处理，并可能在集中组件清单中出现多次，因此需要在集中清单中为每个软件实例建立系统关联，以避免组件重复计数。扫描实现了多种网络协议的系统（例如IPv4 和 IPv6) 可能导致在不同地址空间中识别出重复的组件。实施 CM-8(7) 可以帮助消除组件的重复计数。