CISO助手
完成度
0%(0/993)
评估报告
NIST

NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

控制项模式

信息系统和组织的安全与隐私控制

版本: Rev 5.2.0覆盖状态: 完整覆盖 (1986/1986)控制项/量表/总计: 993/993/1986当前展示: 16 / 99320 个分类
PS-6访问协议控制项
人员安全 / 访问协议

访问协议包括保密协议、可接受使用协议、行为规范以及利益冲突协议。签署的访问协议包含一份确认,即个人已阅读、理解并同意遵守与其被授权访问的组织系统相关的限制。除非组织政策明确禁止,组织可以使用电子签名来确认访问协议。

评估
评估状态:
评估备注:
AUTOMATED.ACTIONS.4365PS-4(2):自动化操作控制项
人员安全 / 自动化操作

在员工众多的组织中,并非所有需要了解解雇行为的人员都会收到适当的通知,或者即使收到了通知,也可能不会及时发送。可以使用自动化机制在人员被解雇时向组织的相关人员或职能角色发送自动提醒或通知。此类自动警报或通知可以通过多种方式传达,包括电话、电子邮件、短信或网站。也可以使用自动化机制在员工离职后快速且彻底地禁用对系统资源的访问。

评估
评估状态:
评估备注:
CITIZENSHIP.REQUIREMENTS.4362PS-3(4):公民身份要求控制项
人员安全 / 公民资格要求

None.

评估
评估状态:
评估备注:
CLASSIFIED.INFORMATION.4359PS-3(1):机密信息控制项
人员安全 / 机密信息

机密信息是联邦政府处理、存储或传输的最敏感信息。个人在获取此类信息之前,必须具备必要的安全许可和系统访问授权。访问授权由系统访问控制(见 AC-3)和流量控制(见 AC-4)执行。

评估
评估状态:
评估备注:
CLASSIFIED.INFORMATION.REQUIRING.SPECIAL.PROTECTION.4368PS-6(2):需要特别保护的机密信息控制项
人员安全 / 需要特殊保护的机密信息

需要特殊保护的机密信息包括附属信息、特别访问计划(SAP)信息以及敏感分隔信息(SCI)。人员安全标准反映了适用的法律、总统令、指令、法规、政策、标准和指南。

评估
评估状态:
评估备注:
PS-7外部人员安全控制项
人员安全 / 外部人员安全

外部提供者指的是运营或获取系统的组织以外的组织。外部提供者包括服务机构、承包商以及其他提供系统开发、信息技术服务、测试或评估服务、外包应用程序和网络/安全管理的组织。组织在与采购相关的文件中明确包括人员安全要求。外部供应商的人员可能在组织设施工作,并持有由组织颁发的证件、徽章或系统权限。对外部人员变动的通知可确保适当终止其权限和证件。组织根据与安全相关的特征定义应报告的调动和终止情况,这些特征包括职能、角色以及与被调动或终止的个人相关的凭证或权限的性质。

评估
评估状态:
评估备注:
FORMAL.INDOCTRINATION.4360PS-3(2):正式灌输控制项
人员安全 / 正式灌输

需要正式培训的机密信息类型包括特别访问计划(SAP)、受限数据(RD)和敏感隔离信息(SCI)。

评估
评估状态:
评估备注:
INFORMATION.WITH.SPECIAL.PROTECTIVE.MEASURES.4361PS-3(3):具有特殊保护措施的信息控制项
人员安全 / 具有特殊保护措施的信息

需要特殊保护的组织信息包括受控未分类信息。人员安全标准包括职位敏感性和背景筛查要求。

评估
评估状态:
评估备注:
PS-8人员制裁控制项
人员安全 / 人员制裁

组织制裁反映适用的法律、行政命令、指示、法规、政策、标准和指南。制裁流程在访问协议中有所描述,也可以作为组织的一般人事政策的一部分,或在安全与隐私政策中具体说明。组织在涉及员工制裁事项时会咨询总法律顾问办公室。

评估
评估状态:
评估备注:
PS-3人员筛查控制项
人员安全 / 人员筛查

人员筛选和重新筛选活动应符合适用的法律、行政命令、指令、法规、政策、标准、指南以及为所分配职位的风险等级制定的具体标准。人员筛选的例子包括背景调查和机构核查。组织可以根据系统处理、存储或传输的信息类型,为访问系统的人员定义不同的重新筛选条件和频率。

评估
评估状态:
评估备注:
PS-4人员解雇控制项
人员安全 / 人员解雇

系统财产包括硬件认证令牌、系统管理技术手册、钥匙、身份证和建筑通行证。离职面谈确保被解雇的员工理解作为前雇员所受到的安全限制,并确保对与系统相关的财产进行适当的责任追究。离职面谈中的安全主题包括提醒个人保密协议以及对未来就业的潜在限制。对于某些人来说,离职面谈可能并不总是可行,包括主管不可用、疾病或工作弃职等情况。离职面谈对于拥有安全许可的个人非常重要。对于因故被解雇的个人,及时执行终止操作是至关重要的。在某些情况下,组织会考虑在通知被解雇人员之前,先停用他们的系统账户。

评估
评估状态:
评估备注:
PS-5人员调动控制项
人员安全 / 人员调动

人员调动适用于个人的重新分配或调任是永久性的,或持续时间较长以至于需要采取此类措施的情况。组织会根据重新分配或调任的类型(无论是永久性还是长期性)界定适当的行动。涉及人员调动或重新分配到组织内其他职位的行动可能包括:归还旧钥匙并发放新钥匙、身份证和出入证;关闭系统账户并建立新账户;更改系统访问权限(即权限)。并提供访问个人在以前工作地点和以前系统账户中可访问的官方记录的权限。

评估
评估状态:
评估备注:
PS-1政策与流程控制项
人员安全 / 政策与流程

人员安全政策和程序用于在系统和组织中实施 PS 系列的控制。风险管理策略是在制定此类政策和程序时的重要因素。政策和程序有助于保障安全和隐私。因此,安全和隐私项目在制定过程中进行合作非常重要。在组织层面制定的安全和隐私计划政策与程序通常是更可取的,并且可能不需要在任务层面或系统特定层面制定政策和程序。该政策可以作为总体安全和隐私政策的一部分,也可以通过多项政策体现,以反映组织的复杂性质。如果需要,可以为安全和隐私程序、任务/业务流程以及系统建立程序。程序描述了政策或控制措施的实施方式,并可以针对程序对象的个人或角色进行指导。程序可以记录在系统安全和隐私计划中,也可以记录在一个或多个单独的文档中。可能导致更新人员安全政策和程序的事件包括但不限于评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变化。仅仅重复控制措施并不构成组织的政策或程序。

评估
评估状态:
评估备注:
PS-9职位描述控制项
人员安全 / 职位描述

在各个组织岗位描述中明确安全和隐私角色,有助于清楚地理解与这些角色相关的安全或隐私职责,以及这些角色所需的基于角色的安全和隐私培训要求。

评估
评估状态:
评估备注:
PS-2头寸风险指定控制项
人员安全 / 头寸风险指定

职位风险指定反映了人事管理办公室(OPM)的政策和指导。适当的职位指定是有效且一致的适任性和人员安全计划的基础。职位指定系统(PDS)评估一个职位的职责和责任,以确定职位人员的不当行为可能对服务的效率或完整性造成的潜在损害程度,并确定该职位的风险级别。PDS评估还会确定该职位的职责和责任是否可能使职位承担者对国家安全造成重大不利影响,以及这种潜在影响的程度,从而确定职位的敏感性级别。评估结果决定了该职位需要进行何种级别的调查。风险指定可以指导并告知个人在访问组织信息和信息系统时所获得的授权类型。职位筛选标准包括明确的信息安全角色任命要求。《联邦法规》第5篇第1400部分和第731部分规定了组织评估相关涵盖职位的要求,以确定职位的敏感性和职位风险等级,这些等级应与职位的职责和责任相适应。

评估
评估状态:
评估备注:
POST.EMPLOYMENT.REQUIREMENTS.4369PS-6(3):离职后的要求控制项
人员安全 / 离职后要求

各组织就离职人员的离职后相关要求事项咨询总法律顾问办公室。

评估
评估状态:
评估备注: