NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

控制基线是预先定义的一组控制措施，专门组装用于满足某个群体、组织或利益社区的保护需求。基线中选择控制措施，目的是要么满足法律、行政命令、指令、法规、政策、标准和指南所强加的要求，要么在基线特定假设下，应对所有基线用户普遍面临的威胁。基线代表了保护个人隐私、信息和信息系统的起点，随后可以根据任务、业务或其他约束进行调整以管理风险（见 PL-11）。联邦控制基线在 [SP 800-53B] 中提供。控制基线的选择由利益相关者的需求决定。利益相关者需要考虑使命和业务需求，以及适用法律、行政命令、指令、政策、规章、标准和指南所强加的要求。例如，[SP 800-53B]中的控制基线是基于[FISMA]和[PRIVACT]的要求。这些要求以及实施该立法的 NIST 标准和指南，指导组织在审查信息类型以及系统上处理、存储和传输的信息后，从控制基线中选择一个。分析信息或系统丧失或被破坏对组织的运营和资产、个人、其他组织或国家的潜在不利影响；并考虑系统和组织风险评估的结果。[CNSSI 1253] 提供了国家安全系统控制基线的指导。