NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

保护需求是与具体技术无关的能力，这些能力对于应对通过信息泄露（即机密性、完整性、可用性或隐私的丧失）对组织、个人、系统和国家构成的威胁是必需的。信息保护和个人可识别信息处理的需求源自组织利益相关者定义的使命和业务需求、为满足这些需求而设计的使命和业务流程以及组织的风险管理策略。信息保护和个人可识别信息处理的需求决定了组织和系统所需的控制措施。定义保护和个人可识别信息处理需求的固有前提是理解如果信息被泄露或破坏可能产生的不利影响。分类过程用于对潜在影响进行评估。个人隐私风险可能源于个人身份信息的泄露，但也可能作为意外后果或在信息生命周期任何阶段处理个人身份信息的副产品而产生。隐私风险评估用于优先考虑系统处理个人可识别信息所带来的风险。这些风险评估使得组织和系统能够选择所需的隐私控制措施。任务和业务流程定义及其相关的保护要求根据组织的政策和程序进行记录。