4月7日訊 美國國家標準技術研究所（NIST）關于修訂SP 800-53相關的消息雖算不上最振奮人心，但對于聯網IT管理人員而言，文件中有關網絡安全控制的權威目錄就如同"贊美詩集”和教堂禱告用書的融合版，讓人愉悅并給人寬慰和希望。修訂版NIST 800-53將更廣泛的用于物聯網與工控系統，并且在未來一段時間內作為風向標，引領者各企業技術不斷發展。

修訂NIST 800-53可謂美國的一件大事。其中一名主要作者表示，NIST頂尖聯邦科學家在最新版中也融合了隱私控制。

談及《NIST SP 800-53：聯邦信息系統和組織機構的安全和隱私控制》的新草案時，NIST研究員羅恩·羅斯稱這是一份超越式的文件。

羅斯及其它NIST的網絡專家上周在NIST信息安全和隱私委員會上簡要提到了期待已久的修訂版的800-53 Rev5。這份新的SP 800-53羅列了聯邦管理人員必須選擇的安全控制，以確保IT系統符合《聯邦信息安全現代化法案》規定的安全標準。除此之外，該文件還為聯邦政府以外的其它組織機構所用。

羅斯表示，修訂是大事，Rev5尤其備受期待。本次修訂版進行了一系列更改，旨在將隱私措施更全面地整合到安全目錄中。修訂版在整個文件中和標題中取消了“聯邦”，并使其更受私有行業（自愿使用）歡迎，并為其它想要保護非傳統IT系統的群體提供更寬泛、更具包容性的依據。 而原有的“系統”替換成“信息系統”，這更清晰地表明可以將文件用于物聯網、醫療設備、汽車等等任何計算機聯網場所。這些變化意味著新文件將更名為“系統和組織機構的安全與隱私控制”（Security and Privacy Controls for Systems and Organizations）。

修訂新版原計劃于上周發布，但要經過內部審查，這份文件正等白宮簽署通過。NIST計算機安全中心上周五晚稱希望能在不久的將來以刊物的形式發布。

羅斯指出，另一個重大變化是，將控制從選擇過程中分離開來。

現存版本（2012年）旨在與NIST聯邦風險管理框架一起使用，但修訂之后這塊被砍掉，所以現在的控制過程是不可知的：可以與聯邦風險框架一起使用，也可以與NIST網絡安全框架一起使用，亦可以與ISO 27001一起使用，并可用于組織機構的任何過程。因此，NIST認為建立了最全面的控制集，擁有無與倫比的廣度和深度，并希望為更多人所用。

羅斯稱，NIST科學家采用了一個附錄，列出了組織機構可以采用的隱私控制，并將其融合到目錄中。該文件包含隱私控制、安全控制以及雙用途控制。羅斯在舉例中提到“意識和培訓”，以及“審計”。他表示，為了將隱私和安全納入其中，培訓應當包含在內。審計可以衡量隱私和安全。

文件后面還有一張表格羅列了所有隱私相關的控制，而NIST將這些控制完全融入到整個文件之中。

點擊下載《SP 800-53 Rev4》文件，解壓密碼為E安全網址。