[据fifthdomain网站2017年8月22日报道] 美国国家标准与技术研究院计算机科学处发布一份草案“信息系统和组织的安全与隐私控制”,并要求公众提意见和评论。
该出版物是一项持续努力,将在整个政府中建立统一的安全框架。这是第五次修订包含了2个新亮点,主要是注重隐私,并且在草案中注重其他隐私控制。这种集成使安全和隐私间的关系更明朗,改善了整体控制选择,并允许机构处理其安全和隐私风险。
此外,新的修订版不仅能够满足联邦政府要求,也可以满足自愿承担控制目录增加安全措施的其他组织的需要。
例如,将选择控制过程从控制目录中分离出来,并将其集成到NIST风险管理框架中。该行为允许联邦政府以外的组织更容易的使用NIST的控制框架,就像网络安全框架一样。
这种新发现的多样性包括以前被排除在外的一些群体的需求,如从事隐私和安全的工程师、产品组件开发人员,以及与安全和隐私有关的其他行业专业人员。
该草案中其他的一些主要变化包括:
•集中于创造结果——隐私和安全控制的基本结构;
•整合风险管理与网络安全方法和语言;
•将攻击和威胁情报数据纳入国家实践控制。
凡是有系统发展责任、安全和隐私责任、监管和风险管理责任及其他商业实体应在9月12日前反馈对新草案的意见,最终草案将于10月发布,最终版本最迟于2017年底发布。(工业和信息化部电子第一研究所 李艳霄)