[據國家標準與技術研究院網站2017年8月15日報道] 信息系統,包括通信平臺和互聯網連接設備,均需制定相關的安全和隱私保護標準,才能確保正常運作并保護日益復雜且通過互聯網連接的用戶。
為此,美國國家標準技術研究所(NIST)發布了具有廣泛適用范圍的特種出版物(SP)800-53《信息系統和組織的安全及隱私控制》之最新修訂草案。該草案由來自民間、國防和情報界的代表組成的聯合工作小組擬定,SP 800-53第五修訂草案(外部鏈接)旨在為聯邦政府制定統一的信息安全框架。
最新的草案不僅適用于信息安全和聯邦政府范疇,還可用于各類組織在互連系統中維護安全和隱私。
聯合工作小組負責人稱,“第五修訂草案提出了新的指導方針 - 我們正在制定新一代可用于維護物聯網安全的控制標準清單。”控制標準是指旨在保護系統、組織和個人的安全和隱私的保護技術和程序。
現在,全新的草案完全整合了隱私保護措施,這在控制清單中尚屬首次。NIST高級隱私政策顧問Naomi Lefkovitz稱:“該修訂草案涵蓋了系統安全和隱私的直接重疊區域,以及純在的差異。其也增強了兩支專業團隊在開展合作的同時仍保持各自權威的能力。”SP 800-53第五修訂版本增加了兩個專注于隱私的新控制系列;其余的控制標準整合在其他控制系列中。
例如,某隱私控制標準旨在解決諸如智能城市交通監控攝像機等類似傳感器所捕獲的數據。控制標準建議傳感器的配置應盡量避免捕獲交通監控系統所不需要的個人數據。
雖然以前的版本更多的是針對聯邦機構,但其他機構,特別是行業組織,也可自愿采用SP 800-53。此類控制標準已經更新,以滿足更多樣化的用戶群體的需求,包括企業級安全和隱私專業人員,組件產品開發人員以及正在從事隱私和安全工作的系統工程師。
例如,IT系統可采用相機。安全專家決定了相機傳感器的安全控制標準,而隱私專業人士決定了隱私控制標準,例如:保護路人隱私的控制標準。此外,控制標準選擇過程現在與安全控制清單分離,并包含在NIST特種出版物800-37(外部鏈接)《NIST風險管理框架》中,以便聯邦政府以外的組織可更容易地在其當前采用的框架中使用NIST控制標準,如ISO 270001以及《關鍵基礎設施網絡安全改進框架》,也稱為《網絡安全框架》。
京公網安備 11010502049343號