NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统级别的安全性和隐私架构与 PM-7 中描述的全组织范围的安全性和隐私架构一致，这些架构是企业架构的组成部分，并在企业架构开发过程中形成。这些架构包括架构描述、安全和隐私功能的分配（包括控制）、外部接口的安全和隐私相关信息、接口间交换的信息，以及与每个接口相关的保护机制。这些架构还可以包括其他信息，例如用户角色及分配给每个角色的访问权限；安全和隐私要求；系统处理、存储和传输的信息类型；供应链风险管理要求；信息和系统服务的恢复优先级；以及其他保护需求。[SP 800-160-1] 提供了关于在系统开发生命周期过程中使用安全架构的指导。[OMB M-19-03] 要求对高价值资产使用 [SP 800-160-1] 中描述的系统安全工程概念。安全性和隐私架构会在系统开发生命周期的各个阶段进行审查和更新，从替代方案分析到RFP响应中对拟议架构的审查，再到在实施前和实施过程中进行的设计评审（例如，在初步设计评审和关键设计评审期间）。在当今的现代计算架构中，组织完全控制所有信息资源的情况越来越少。可能会对外部信息服务和服务提供商存在关键依赖。在安全和隐私架构中描述这些依赖关系，对于制定全面的任务和业务保护策略是必要的。为组织系统建立、开发、记录并在配置控制下维护基线配置，对于实施和维护有效的架构至关重要。架构的发展是与高级机构信息安全官员和高级机构隐私官员协调进行的，以确保识别并有效实施支持安全和隐私要求所需的控制。在许多情况下，系统的安全架构和隐私架构可能没有区别。在其他情况下，安全目标可能已得到充分满足，但隐私目标可能仅通过安全要求得到部分满足。在这些情况下，考虑为实现满足而需要的隐私要求将会产生一个独立的隐私架构。然而，文档可能仅反映了合并后的架构。PL-8 主要面向组织，以确保为系统开发架构，并且确保这些架构与企业架构集成或紧密结合。相反，SA-17 主要面向外部信息技术产品及系统开发人员和集成商。SA-17，即与PL-8互补，当组织将系统或组件的开发外包给外部实体，并且需要证明其与组织的企业架构以及安全和隐私架构的一致性时会被选择。