NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
披露会计的目的是让个人了解其可识别个人身份的信息已被披露给谁,为随后向接收方通知任何已更正或有争议的可识别个人身份信息提供依据,并为随后审查组织对披露条件的合规性提供审计跟踪。对于联邦机构来说,保留披露记录是由[PRIVACT]要求的;机构应就此要求咨询其高级隐私官员和法律顾问,并了解与该规定相关的法定例外情况及OMB指导意见。组织可以使用任何系统来记录披露事项,只要能够从该系统生成包含所有披露及所需信息的文档列表。组织可以使用自动化机制来确定何时披露个人可识别信息,包括提供通知和警报的商业服务。披露记录也可用于帮助组织核实其是否遵守适用的隐私法规以及关于信息披露或传播的政策和限制。
组织系统和操作环境的授权流程需要实施全组织范围的风险管理流程以及相关的安全和隐私标准和指南。风险管理流程的具体角色包括风险管理主管(职能)以及每个组织系统和通用控制提供者的指定授权官员。该组织的授权流程与持续监控流程相结合,以促进对组织运作、组织资产、个人、其他组织以及国家所面临的安全和隐私风险的持续理解和接受。
为了最大化监控的效果,了解传感器需要搜索哪些威胁可观测指标和指示器是非常重要的。通过使用成熟的框架、服务和自动化工具,组织能够提升快速共享并将相关威胁检测特征输入监控工具的能力。
个人的投诉、关切和问题可以成为组织的重要信息来源,并最终改善运营模式、技术使用、数据收集实践和控制措施。公众可以使用的机制包括电话热线、电子邮件或基于网络的表单。成功提交投诉所需的信息包括隐私高级机构官员或其他指定接收投诉的官方人员的联系信息。隐私投诉还可能包含个人身份信息,这些信息将按照相关政策和流程进行处理。
在组织层面进行持续监控,有助于持续了解整个组织的安全性和隐私状况,从而支持组织的风险管理决策。“持续”和“持续进行”这两个术语意味着组织以足够的频率评估和监控其控制措施和风险,以支持基于风险的决策。不同类型的控制可能需要不同的监控频率。持续监控的结果指导并告知组织的风险应对措施。持续监控程序使组织能够在任务和业务需求、威胁、漏洞及技术不断变化的高度动态运营环境中,维持系统和通用控制的授权。通过报告和仪表板持续获取与安全和隐私相关的信息,使组织官员能够做出有效、及时且有根据的风险管理决策,包括持续的授权决策。为了进一步促进安全和隐私风险管理,组织考虑将组织定义的监控指标与风险管理策略中定义的组织风险容忍度相一致。监控要求,包括对监控的需求,可能在其他控制措施及其增强措施中有所提及,例如 AC-2g、AC-2(7)、AC-2(12)(a)、AC-2(7)(b)、AC-2(7)(c)、AC-17(1)、AT-4a、AU-13、AU-13(1)、AU-13(2)、CA-7、CM-3f、CM-6d、CM-11c、IR-5、MA-2b、MA-3a、MA-4a、PE-3d、PE-6、PE-14b、PE-16、PE-20、PM-6、PM-23、PS-7e、SA-9c、SC-5(3)(b)、SC-7a、SC-7(24)(b)、SC-18c、SC-43b、SI-4。
保护策略基于对关键资产和资源的优先排序。关于定义关键基础设施和关键资源以及制定相关关键基础设施保护计划的要求和指导,可在适用的法律、行政命令、指令、政策、条例、标准和指南中找到。
数据治理机构可以帮助确保组织拥有一致的政策,并能在数据的实用性与安全和隐私要求之间取得平衡。数据治理机构制定政策、程序和标准,以促进数据治理,从而确保数据,包括可识别个人身份的信息,能够根据适用的法律、行政命令、指令、规章、政策、标准和指南得到有效管理和维护。职责可能包括制定和执行支持数据建模、质量、完整性以及个人身份信息(PII)在整个信息生命周期中去标识化需求的指南,以及审核和批准向组织外部发布数据的申请,归档申请和已发布的数据,并进行发布后监控,以确保数据发布过程中所做的假设继续有效。成员包括首席信息官、高级机构信息安全官和隐私高级机构官员。联邦机构需要根据[EVIDACT]及[OMB M-19-23]下制定的政策,建立具有特定角色和职责的数据治理机构。
数据完整性委员会是由联邦机构负责人指定的高级官员组成的委员会,负责的事项包括审查该机构关于开展或参与匹配程序的提议,以及对该机构参与的所有匹配程序进行年度审查。一般来说,匹配程序是将来自两个或多个自动化[PRIVACT]记录系统的记录,或联邦机构外(或其代理)维护的自动化记录系统的记录进行计算机化比对的过程。匹配程序可以涉及联邦福利计划,或者联邦人员或工资记录。至少,数据完整性委员会包括该机构的监察长(如有)以及机构的高级隐私官员。
对于联邦机构,该网页位于 www.[agency].gov/privacy。联邦机构包括公共隐私影响评估、记录系统通知、计算机匹配通知和协议、[PRIVACT] 例外和实施规则、隐私报告、隐私政策、供个人提出访问或修改请求的说明、问题/投诉的电子邮件地址、博客及定期出版物。
将安全和隐私需求及控制整合到企业架构中,有助于确保在系统开发生命周期的各个阶段都考虑到安全和隐私问题,并且与组织的使命和业务流程明确相关。安全和隐私需求整合的过程还嵌入到企业架构以及组织的安全和隐私架构中,以与组织的风险管理策略保持一致。对于PM-7,安全和隐私架构是在系统群层面开发的,代表了所有组织系统。对于 PL-8,安全和隐私架构是在代表单个系统的层面上开发的。系统级架构与为组织定义的安全和隐私架构保持一致。通过严格应用风险管理框架 [SP 800-37] 以及支持的安全标准和指南,最有效地实现安全和隐私要求及控制整合。
组织考虑为信息安全和隐私设立负责人,并在提供必要资源的过程中,根据需要分配专业的技术和资源。组织可以指定并授权一个投资审查委员会或类似的机构来管理并监督资本规划和投资控制过程中的信息安全和隐私方面。
高级机构信息安全官是组织官员。对于联邦机构(根据适用法律、行政命令、法规、指令、政策和标准的定义),该官员即为高级机构信息安全官。组织也可以将该官员称为高级信息安全官或首席信息安全官。
信息安全计划是一份正式的文件,概述了组织范围内信息安全计划的安全需求,并描述了为满足这些需求而已实施或计划实施的计划管理控制和通用控制。信息安全计划可以以单一文件或文件汇编的形式呈现。隐私计划和供应链风险管理计划分别在 PM-18 和 SR-2 中单独处理。信息安全计划文档记录了关于计划管理和通用控制的实施细节。该计划提供了关于控制措施的充分信息(包括通过明确说明或引用方式对赋值和选择操作的参数规格的说明),以使实施能够明确符合计划意图,并能够评估按照计划实施时将承担的风险。信息安全计划的更新包括组织变更以及在计划实施或控制评估过程中发现的问题。程序管理控制可以在组织层面或任务或业务流程层面实施,对于管理组织的信息安全计划至关重要。项目管理控制与常见控制、系统特定控制和混合控制不同,因为项目管理控制独立于任何特定系统。各个系统的安全计划与全组织范围的信息安全计划共同,为组织内部采用的安全控制提供完整的覆盖。组织系统可继承的常用控制措施已在组织信息安全计划的附录中记录,除非这些控制措施已包含在系统的单独安全计划中。组织范围的信息安全计划指出了哪些单独的安全计划包含了常用控制措施的描述。可能导致信息安全计划更新的事件包括但不限于:全组织范围的评估或审计发现、安全或隐私事件,或法律、行政命令、指令、法规、政策、标准和指南的变更。
根据第13587号行政命令(EO 13587)和国家内部威胁政策(ODNI NITP),处理机密信息的组织必须建立内部威胁项目。适用于机密环境中内部威胁项目的相同标准和指南,也可以有效用于提升非国家安全系统中受控未分类信息及其他信息的安全性。内部威胁项目包括通过对技术和非技术信息的集中整合与分析,检测和防止恶意内部活动,从而识别潜在的内部威胁问题。部门或机构负责人指定一名高级官员作为负责实施和监督该项目的个人。除了集中式的整合和分析能力外,内部威胁计划还要求组织制定部门或机构的内部威胁政策和实施计划,对政府拥有的机密计算机上个人员工的活动进行基于主机的用户监控,为员工提供内部威胁意识培训,从部门或机构的办公室获取内部威胁分析所需的信息,并对部门或机构的内部威胁态势进行自我评估。内部威胁项目可以利用组织可能已经建立的事件处理团队,例如计算机安全事件响应团队。人力资源记录在这一工作中尤为重要,因为有确凿的证据表明,某些类型的内部犯罪往往由工作场所中的非技术性行为所预示,包括持续的不满行为模式以及与同事和其他同事的冲突。这些前兆可以帮助组织官员进行更有针对性、更集中的监控工作。然而,使用人力资源记录可能会引发显著的隐私问题。法律团队的参与,包括与高级机构隐私官的咨询,确保监控活动按照适用的法律、行政命令、指令、法规、政策、标准和指南进行。
对处理个人身份信息的系统、应用程序和项目的清单,有助于映射数据操作,向个人提供隐私通知,保持个人身份信息的准确性,并在不需要用于运营目的时限制个人身份信息的处理。组织可以使用此清单来确保系统仅为经授权的目的处理个人身份信息,并且这种处理仍与所指定的目的相关且必要。
绩效衡量是组织用来评估信息安全和隐私项目以及用于支持这些项目的控制措施的有效性或效率的基于结果的指标。为了促进安全和隐私风险管理,组织会考虑将绩效衡量与风险管理策略中定义的组织风险容忍度进行对齐。
在测试、研究和培训中使用可识别个人身份的信息会增加未经授权披露或滥用该信息的风险。各组织会咨询高级机构隐私官员和/或法律顾问,以确保在测试、培训和研究中使用可识别个人身份的信息与其最初收集目的相符。在可能的情况下,组织会使用占位符数据,以避免在进行测试、培训和研究时泄露个人身份信息。
保护需求是与具体技术无关的能力,这些能力对于应对通过信息泄露(即机密性、完整性、可用性或隐私的丧失)对组织、个人、系统和国家构成的威胁是必需的。信息保护和个人可识别信息处理的需求源自组织利益相关者定义的使命和业务需求、为满足这些需求而设计的使命和业务流程以及组织的风险管理策略。信息保护和个人可识别信息处理的需求决定了组织和系统所需的控制措施。定义保护和个人可识别信息处理需求的固有前提是理解如果信息被泄露或破坏可能产生的不利影响。分类过程用于对潜在影响进行评估。个人隐私风险可能源于个人身份信息的泄露,但也可能作为意外后果或在信息生命周期任何阶段处理个人身份信息的副产品而产生。隐私风险评估用于优先考虑系统处理个人可识别信息所带来的风险。这些风险评估使得组织和系统能够选择所需的隐私控制措施。任务和业务流程定义及其相关的保护要求根据组织的政策和程序进行记录。
并非系统提供的每个功能或服务对组织的使命或业务功能都是必需的。打印或复印是组织中非必要但支持性的服务的一个例子。在可能的情况下,这类支持性但非必需的功能或服务不会与支持核心使命或业务功能的功能或服务共置。在同一系统或系统组件上维护此类功能会增加组织关键任务功能或服务的攻击面。将支持性的但非必要的功能转移到非关键系统、系统组件或外部提供者,也可以通过将这些功能或服务交给在该功能或服务方面具有专业知识的个人或提供者来提高效率。
个人可识别信息质量管理包括组织为确认个人可识别信息在信息生命周期中准确性和相关性所采取的步骤。信息生命周期包括个人可识别信息的创建、收集、使用、处理、存储、维护、传播、披露和处置。关于个人身份信息质量管理的组织政策和程序非常重要,因为组织维护的不准确或过时的个人身份信息可能会给个人带来问题。组织会考虑在涉及个人身份信息的业务职能中的信息质量,如果信息不准确,可能导致不利决策或拒绝提供福利和服务,或者信息的泄露可能会引起污名化。在某些情况下,正确的信息可能会给个人带来问题,这些问题超过了组织维护这些信息的好处。组织会考虑制定删除此类信息的政策和程序。负责隐私的高级机构官员确保存在切实可行的手段和机制,让个人或其授权代表能够寻求更正或删除个人身份信息。更正或删除数据的流程被明确定义并公开可用。组织在决定是否删除或更正数据时会根据请求范围、所需更改以及更改的影响来酌情处理。此外,流程还包括向个人提供对拒绝更正或删除请求的决定的回应。这些回应包括决策的原因、记录个人对决策提出异议的方式,以及请求对初步决定进行复审的方式。组织在对个人身份信息进行更正或删除时,会通知个人或其指定的代表,以提供透明度并确认已完成的操作。由于数据流和存储的复杂性,可能需要通知其他实体进行更正或删除。通知功能支持在整个数据生态系统中一致地更正和删除个人身份信息。
行动计划和里程碑是关键的组织文件,并且受管理与预算办公室制定的报告要求的约束。组织在制定行动计划和里程碑时,会从全局角度进行规划,优先考虑风险应对措施,并确保与组织的目标和宗旨保持一致。行动计划和里程碑更新基于控制评估和持续监控活动的结果。可以针对信息系统级别、任务/业务流程级别以及组织/治理级别有多个行动计划和里程碑。虽然联邦组织需要制定行动计划和里程碑,但其他类型的组织也可以通过记录和跟踪计划的补救措施来帮助降低风险。系统级行动计划和里程碑的具体指导见 CA-5。
组织会在所有面向外部的网站、移动应用程序及其他数字服务上发布隐私政策。组织会在网站、应用程序或数字服务的任何已知主要入口点发布相关隐私政策的链接。此外,组织会在收集个人身份信息的任何网页上提供隐私政策的链接。组织可能需要遵守适用的法律、行政命令、指令、法规或政策,这些规定要求向公众提供特定信息。组织人员应就此类要求咨询隐私和法律事务的高级机构官员。
隐私官是组织的一个职务官员。对于联邦机构——根据适用的法律、行政命令、指令、法规、政策、标准和指南的定义——该官员被指定为隐私高级管理官员。组织也可以将此官员称为首席隐私官。负责隐私的高级机构官员还在数据管理委员会(见 PM-23)和数据完整性委员会(见 PM-24)担任职务。
隐私计划方案是一个正式文件,概述了组织的隐私计划,包括隐私计划的结构描述、用于隐私计划的资源、隐私高级官员及其他隐私官员和工作人员的角色、隐私计划的战略目标和宗旨,以及为满足适用的隐私要求和管理隐私风险所实施或计划的项目管理控制和通用控制。隐私计划可以通过单一文件或文件汇编来呈现。机构高级隐私官负责指定组织将哪些隐私控制作为计划管理、通用、特定系统和混合控制。隐私计划提供了足够的信息,关于隐私计划管理和常用控制(包括参数规格以及明确或通过引用进行的分配和选择操作),以便能够实施明确符合计划意图的控制,并确定如果按计划实施所产生的风险。项目管理控制通常在组织层面实施,对于管理组织的隐私计划至关重要。项目管理控制不同于常见的、系统特定的和混合控制,因为项目管理控制不依赖于任何特定的信息系统。个人系统的隐私计划和整个组织范围的隐私程序计划共同提供了组织内所采用的隐私控制的完整覆盖。除非控制措施包含在某个系统的单独隐私计划中,否则常用控制措施会在组织的隐私程序计划附录中进行记录。整个组织的隐私计划表明哪些独立的隐私计划包含隐私控制的描述。
通过内部和外部的报告,组织可以在隐私运营中促进问责制和透明度。报告还可以帮助组织确定在满足隐私合规要求和隐私控制方面的进展,比较联邦政府各部门的绩效,发现漏洞,识别政策和实施中的差距,以及确定成功的模式。对于联邦机构,隐私报告包括向OMB提交的年度高级隐私官员报告、根据《9/11委员会法执行条例》要求向国会提交的报告,以及法律、法规或政策要求的其他公共报告,包括组织的内部政策。负责隐私事务的高级机构官员在适当情况下会咨询法律顾问,以确保组织符合所有适用的隐私报告要求。
受控非机密信息由国家档案和记录管理局定义,并规定了此类信息的保护和传播要求,具体规定载于《联邦法规汇编》第32卷第2002条,针对联邦组织外部系统的具体规定见第32卷第2002.14h条。该政策规定了应根据组织程序实施的具体用途和条件,包括通过其合同流程。
系统被设计用于支持特定的任务或业务功能。然而,随着时间的推移,系统及其组件可能被用于支持超出预期任务或业务功能范围的服务和功能。这可能导致信息资源暴露于意外的环境和用途,从而显著增加威胁风险。这样一来,系统就更容易受到威胁,从而最终影响其原本设计的服务和功能。这对关键任务的服务和功能尤其有影响。通过分析资源使用情况,组织可以识别出这些潜在的风险暴露。
风险框架在组织层面进行时最为有效,并应在整个组织的利益相关者(包括任务、业务和系统负责人)的协商下进行。在风险框架制定过程中确定的假设、约束、风险容忍度、优先级和权衡会为风险管理策略提供信息,而风险管理策略又会影响风险评估、风险应对和风险监控活动的开展。风险框架结果会与组织人员共享,包括任务和业务负责人、信息拥有者或信息管理员、系统拥有者、授权官员、机构高级信息安全官员、机构隐私高级官员以及风险管理高级问责官员。
负责风险管理的高级负责人领导风险执行(职能)部门开展全组织的风险管理活动。
全组织范围的风险管理策略包括组织对安全和隐私风险的容忍度表达、安全和隐私风险缓解策略、可接受的风险评估方法、评估整个组织安全和隐私风险(相对于组织风险容忍度)的流程,以及随时间监控风险的方法。负责风险管理的高级负责人(机构主管或指定官员)将信息安全管理流程与战略、运营和预算规划流程相结合。由负责风险管理的高级负责人领导的风险执行职能,可以推动整个组织一致地应用风险管理策略。风险管理策略可以参考来自组织内部和外部的安全与隐私风险相关输入,以确保策略具有广泛性和全面性。PM-30中描述的供应链风险管理策略也可以为组织整体风险管理策略提供有用的参考。
在技术和威胁快速变化的环境中,与安全和隐私组织及协会保持持续联系非常重要。相关组织和协会包括特别兴趣小组、专业协会、论坛、新闻组、用户组以及类似组织中安全与隐私专业人士的同侪群体。组织根据使命和业务职能选择安全和隐私团体及协会。组织分享威胁、漏洞和事件信息,以及情境见解、合规技术和隐私问题,这些均符合适用的法律、行政命令、指令、政策、法规、标准和指南。
安全和隐私人员发展与改进计划包括定义执行安全和隐私职责和任务所需的知识、技能和能力;为被分配安全和隐私角色和责任的个人制定基于角色的培训计划;并为测量和建立现任人员及申请安全与隐私相关职位人员的个人资格提供标准和指南。此类劳动力发展与改进计划还可以包括安全与隐私职业路径,以鼓励安全与隐私专业人员在该领域发展,并担任责任更大的职位。这些计划鼓励组织用合格人员来填补与安全和隐私相关的职位。安全和隐私人员队伍发展与改进计划与组织的安全意识和培训计划相辅相成,重点是培养和制度化人员所需的核心安全和隐私能力,以保护组织的运营、资产和个人。
识别和优先考虑关键或任务必需技术、产品和服务的供应商,对组织的任务/业务成功至关重要。供应商评估是通过供应商审查(见 SR-6)和供应链风险评估流程(见 RA-3(1))进行的。供应链风险分析可以帮助组织识别需要额外供应链风险缓解措施的系统或组件。
全组织范围的供应链风险管理策略包括明确表达组织的供应链风险偏好和容忍度、可接受的供应链风险缓解策略或控制措施、持续评估和监控供应链风险的流程、实施和传达供应链风险管理策略的方法,以及相关的角色和责任。供应链风险管理包括考虑与系统、系统组件和系统服务的开发、获取、维护和处置相关的安全和隐私风险。供应链风险管理策略可以纳入组织整体风险管理策略中,并能够指导和影响供应链政策以及系统层面的供应链风险管理计划。此外,设立风险主管职能可以促使供应链风险管理策略在整个组织范围内得到一致应用。供应链风险管理策略在组织和任务/业务层面实施,而供应链风险管理计划(见 SR-2)在系统层面实施。
[OMB A-130] 提供了关于开发系统清单及相关报告要求的指导。系统清单是指组织范围内的系统清单,而不是 CM-8 中描述的系统组件。
一种面向全组织的安全与隐私测试、培训和监控的流程有助于确保组织对测试、培训和监控活动进行监督,并协调这些活动。随着持续监控计划的重要性日益增长,在风险管理层级的三个层面上实施信息安全和隐私以及广泛使用通用控制,组织会协调并整合在日常评估中常规进行的测试和监控活动,以支持各种控制措施。安全和隐私培训活动虽然侧重于各个系统和特定角色,但需要跨组织各个元素进行协调。测试、培训和监控计划及活动应以当前的威胁和漏洞评估为依据。
由于对手不断变化且越来越复杂,尤其是高级持续性威胁(APT),对手成功入侵或破坏组织系统的可能性可能更大。应对这一问题的最佳方法之一是组织共享威胁信息,包括威胁事件(即组织所经历的战术、技术和程序,组织发现对某些类型威胁有效的缓解措施,以及威胁情报(即关于威胁的迹象和预警)。威胁信息共享可以是双边的或多边的。双边威胁共享包括政府与商业机构之间以及政府间的合作。多边威胁共享包括组织参与威胁共享联盟。威胁信息可能需要特殊协议和保护,或者可以自由共享。