NIST合规

确保明升体育app下载客户保持合规状态和强大的控制环境, LBMC使用以下步骤执行明升体育app下载NIST评估:

• 开始叫 -讨论合同后勤, 验证要测试的控件, 确认现场日程安排, 审查证据请求流程, 并回答任何参与前的问题
• 文档评审
• 与责任人的面谈 用于控制实现获得对当前处理环境的理解.
• 进行绩效审核 NIST规定的控制和现场巡视.
• 听取审计报告并出具最终审计报告

如果你像成千上万的其他政府承包商一样，努力理解合规性，以及需要多少资源才能达到合规性, 要知道你并不孤单! 别担心，很可能你已经在很大程度上遵守了规则.

网络安全漏洞是一个常见的威胁，在这个时代似乎几乎是正常的. 然而, 明升体育app下载政府, 以及NIST的安全专业知识, 继续寻求更安全和有效的方法来保护明升体育app下载数据. 在确定组织应实现的信息安全级别时, 您的数据被泄露的风险应该是驱动因素. 不那么显而易见的, 风险较低的组织是窃取政府机密信息的目标, 联邦政府现在正在采取额外的措施来保护他们的安全.

黑客的主要目标是非联邦组织，这些组织可以访问包括公民高等教育在内的联邦数据, 税, 还有医疗记录. 这种类型的信息对于恶意用户来说具有很高的价值，这些恶意用户要么希望直接泄露这些信息，要么希望建立一个立足点，作为攻击更大的联邦机构目标的起点. 其他感兴趣的组织是利用政府数据进行研究的高等教育机构, 发展, 和/或政府补助. 尽管传输中的数据必须受到联邦加密要求的保护, 想到的更大的问题是——一旦数据到达预期的接收方，应该采取什么控制措施来保护数据? 这就是NIST 800 - 171发挥作用的地方. 本标准的实施是为了帮助填补在非联邦信息系统上保护受控非机密信息(CUI)的空白.

CUI被定义为“信息即法律”, 监管, 或者政府范围内的政策要求保护或传播控制, 不包括根据13526号行政命令分类的信息, 国家安全机密信息, 十二月二十九日, 或者任何前驱或后继顺序, 或者1954年的原子能法案, 经修订(第13556号行政命令)". 那么，这个冗长而复杂的政府定义到底是什么意思呢?

如果你是政府支持的承包商, 例如, 可以访问未被标记为机密的联邦信息系统或政府数据, 或者是使用医疗保险数据进行统计研究的大学, 作为合同的一部分，您可以访问CUI，因此有义务保护它. 任何支持联邦信息系统并访问CUI的承包商都可能受到NIST SP 800-171的影响, CUI并不一定局限于原始数据记录. 它也适用于收集的数据, 存储, 并记录在联邦信息系统的支持下. 这包括项目管理、技术写作、系统开发和咨询.

在高水平上, NIST SP 800-53安全标准旨在供联邦政府内部使用，包含通常不适用于承包商内部信息系统的控制措施. NIST SP 800-53为联邦组织提供顶级需求，更具体地为联邦信息系统和组织提供安全和隐私控制.

另一方面, NIST SP 800-171适用于内部承包商信息系统，并为所有CUI安全需求提供了一套标准化的要求，允许非联邦组织通过始终如一地实施CUI安全措施来遵循法定和监管要求. 另外, 许多NIST SP 800-171控制都是关于策略的一般最佳安全实践, 过程, 安全配置IT, 这意味着在很多方面, 与NIST SP 800-53相比，NIST SP 800-171被认为不那么复杂，也更容易理解.

NIST SP 800-171的独特之处在于，它是为消除FIPS 200和NIST SP 800-53的要求而量身定制的:

1. 具体到政府拥有的系统
2. 与CUI无关，或
3. 期望在没有规格说明的情况下得到满足(i.e.、政策及程序控制).

NIST SP 800-171包括超过100个控制，跨越14个控制家族，本质上更简洁, 使非联邦组织的实现不那么复杂.

NIST SP 800-171的一个独特特征是，非联邦组织在定义如何实现需求方面具有灵活性. 这些需求并不强制要求任何特定的技术解决方案, 允许承包商, 如果他们选择, 使用他们现有的系统来保护信息, 而不是试图使用政府特定的方法. 对于已经拥有成熟系统的组织来说，这是一个好消息，这可能意味着他们不必“撕裂并替换”他们现有的安全程序.

NIST SP 800-171中的安全要求旨在保护驻留在承包商信息系统中的CUI，同时通常减轻承包商维护以联邦为中心的流程和需求的负担. 遵守NIST SP 800-171应该被看作是一个很好的政府数据管理的机会，也是这些组织竞争其他组织可能没有资格获得的联邦机会的机会.