NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统安全和隐私计划的范围限定在系统及定义的授权边界内的系统组件，并包含系统的安全和隐私要求概述以及为满足这些要求所选择的控制措施。这些计划描述了在系统背景下每个选定控制的预期应用，提供了足够的细节，以便正确实施控制并随后评估控制的有效性。控制文档描述了系统特定控制和混合控制的实施方式，以及关于系统功能的计划和预期。系统安全和隐私计划也可以用于系统的设计和开发，以支持基于生命周期的安全和隐私工程流程。系统安全和隐私计划是动态文档，会在系统开发生命周期中不断更新和调整（例如，在能力确定、方案分析、招标请求和设计评审期间）。第2节。1 描述了在系统开发生命周期中与组织相关的不同类型的需求，以及需求与控制之间的关系。组织可以制定一个单一的、综合的安全和隐私计划，或维持单独的计划。安全和隐私计划将安全和隐私需求与一套控制措施及控制增强措施关联起来。这些计划描述了控制和控制增强如何满足安全性和隐私要求，但未提供控制和控制增强的设计或实施的详细技术说明。安全和隐私计划包含足够的信息（包括通过明示或参考方式说明的选择和分配操作的控制参数值规格），以使设计和实施能够明确符合计划的意图，并在计划实施后对组织运营和资产、个人、其他组织及国家的风险进行后续评估。安全和隐私计划不必是单一的文件。计划可以是各种文件的集合，包括已经存在的文件。有效的安全和隐私计划会广泛引用政策、程序以及其他文件，包括设计和实施规范，其中可以获取更详细的信息。使用参考资料有助于减少与安全和隐私计划相关的文档工作，并将与安全和隐私相关的信息维护在其他已建立的管理和运营领域，包括企业架构、系统开发生命周期、系统工程和采购。安全和隐私计划不需要包含详细的应急计划或事件响应计划信息，而可以通过明确说明或引用的方式，提供足够的信息来界定这些计划需要完成的内容。可能需要与组织内的其他个人或团队协调和规划的安全及隐私相关活动包括评估、审计、检查、硬件和软件维护、采购及供应链风险管理、补丁管理以及应急预案测试。规划和协调包括紧急和非紧急情况（即（计划的或非紧急的非计划）情况。组织为规划和协调安全及隐私相关活动而定义的流程，也可以在其他适当的文件中包含。