NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

在组织层面进行持续监控，有助于持续了解整个组织的安全性和隐私状况，从而支持组织的风险管理决策。“持续”和“持续进行”这两个术语意味着组织以足够的频率评估和监控其控制措施和风险，以支持基于风险的决策。不同类型的控制可能需要不同的监控频率。持续监控的结果指导并告知组织的风险应对措施。持续监控程序使组织能够在任务和业务需求、威胁、漏洞及技术不断变化的高度动态运营环境中，维持系统和通用控制的授权。通过报告和仪表板持续获取与安全和隐私相关的信息，使组织官员能够做出有效、及时且有根据的风险管理决策，包括持续的授权决策。为了进一步促进安全和隐私风险管理，组织考虑将组织定义的监控指标与风险管理策略中定义的组织风险容忍度相一致。监控要求，包括对监控的需求，可能在其他控制措施及其增强措施中有所提及，例如 AC-2g、AC-2(7)、AC-2(12)(a)、AC-2(7)(b)、AC-2(7)(c)、AC-17(1)、AT-4a、AU-13、AU-13(1)、AU-13(2)、CA-7、CM-3f、CM-6d、CM-11c、IR-5、MA-2b、MA-3a、MA-4a、PE-3d、PE-6、PE-14b、PE-16、PE-20、PM-6、PM-23、PS-7e、SA-9c、SC-5(3)(b)、SC-7a、SC-7(24)(b)、SC-18c、SC-43b、SI-4。