NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

信息安全计划是一份正式的文件，概述了组织范围内信息安全计划的安全需求，并描述了为满足这些需求而已实施或计划实施的计划管理控制和通用控制。信息安全计划可以以单一文件或文件汇编的形式呈现。隐私计划和供应链风险管理计划分别在 PM-18 和 SR-2 中单独处理。信息安全计划文档记录了关于计划管理和通用控制的实施细节。该计划提供了关于控制措施的充分信息（包括通过明确说明或引用方式对赋值和选择操作的参数规格的说明），以使实施能够明确符合计划意图，并能够评估按照计划实施时将承担的风险。信息安全计划的更新包括组织变更以及在计划实施或控制评估过程中发现的问题。程序管理控制可以在组织层面或任务或业务流程层面实施，对于管理组织的信息安全计划至关重要。项目管理控制与常见控制、系统特定控制和混合控制不同，因为项目管理控制独立于任何特定系统。各个系统的安全计划与全组织范围的信息安全计划共同，为组织内部采用的安全控制提供完整的覆盖。组织系统可继承的常用控制措施已在组织信息安全计划的附录中记录，除非这些控制措施已包含在系统的单独安全计划中。组织范围的信息安全计划指出了哪些单独的安全计划包含了常用控制措施的描述。可能导致信息安全计划更新的事件包括但不限于：全组织范围的评估或审计发现、安全或隐私事件，或法律、行政命令、指令、法规、政策、标准和指南的变更。