NIST800-53 and NIST CSF

NIST800-53 and NIST CSF

NIST 800-53



NIST SP 800-53 系列框架的初衷是保护美国联邦政府的信息安全。虽然它不是正式的法定标准,但它已成为美国和国际安全界广泛认可的框架。指导组织建立信息安全风险管理框架,选择和制定信息安全控制措施。

本次评估基于2020年9月发布的第5版NIST SP 800-53,对阿里云现有的安全和隐私控制措施、增强要求和实施进行了全面评估。 NIST SP 800-53 包含 20 个控制安全域(整体),共 1189 个控制项,其中 1007 个保持有效(包括 298 个基本控制项和 709 个增强控制项)。本次评估是对阿里云的一次全面、完整的安全管控评估,特别体现了对云服务相关的管控。基于云服务的特点和需求,反映阿里云现有的GRC治理、风险和合规状况。阿里云已建立安全流程、控制和工具,以提供安全的云计算平台。

NIST CSF



NIST CSF 审计的目的是通过了解网络安全控制和各种已实施的安全解决方案,对阿里云当前的网络安全态势进行网络安全评估。此外,NIST CSF 为组织提供了由不同功能组成的综合网络安全计划指南。

本次审查基于美国国家标准与技术研究院 (“NIST”)网络安全框架 (“CSF”),重点关注领域包括:

• 阿里云网络安全框架、政策和标准的设计和有效性;
• 网络安全防御能力和响应能力;和
• 当前防御能力与目标或预期结果之间的差距。

本次审查的重点是阿里云对其网络安全战略和相关安全解决方案的实施。基于云服务的特点和需求,反映阿里云现有的GRC治理、风险和合规状况,在此基础上评估CSF的成熟度。


NIST 800-53 v.5信息系统和组织的安全和隐私控制
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

NIST 网络安全框架
https://www.nist.gov/cyberframework