NIST SP 800-53

NIST SP 800-53系列架構的初衷是保護美國聯邦政府的資訊安全。 儘管它不是正式的法定標準，但已成為美國和國際安全界廣泛認可的框架。 NIST 800-53為組織提供建立資訊安全風險管理框架，選擇並制定資訊安全控制措施的指導。

基於NIST SP 800-53第五版，阿里雲對現有的安全和隱私控制措施和實施進行了全面評估。 NIST SP 800-53包含20個控制安全域（族）和總共1189個控制項，其中1007個仍然有效（包括298個基本控制項和709個增強控制項）。 此次評估是對阿里雲端全面、完整的安全控制評估，特別體現了與雲端服務相關的控制。 基於雲端服務的特性和需求，此評估反映了阿里雲現有的GRC治理、風險和合規狀況，顯示阿里雲建立了安全流程、控制和工具來提供安全的雲端運算平台。

NIST CSF

NIST Cybersecurity Framework (CSF)可以幫助各種規模的企業更了解、管理和降低網路安全風險並保護其網路和資料。 作為一個自願框架，NIST CSF為企業提供了安全最佳實踐的摘要。 該框架包括五個“功能”，總共細分為23個“類別”。 對於每個類別，它定義了總共108個網路安全目標和安全控制子類別。

阿里雲基於NIST CSF v1.1對現有的安全和隱私控制措施和實施情況進行了全面評估，重點關注以下幾個方面：
• 阿里雲網路安全框架、政策和標準的設計和有效性；
• 網路安全防禦能力和回應能力； 和
• 目前防禦能力與目標或期望結果之間的差距。

NIST 800-53 v.5信息系統和組織的安全和隱私控制
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

NIST 網絡安全框架
https://www.nist.gov/cyberframework