NIST800-53 and NIST CSF
NIST SP 800-53
NIST SP 800-53系列框架的初衷是保护美国联邦政府的信息安全。 尽管它不是正式的法定标准,但已成为美国和国际安全界广泛认可的框架。 NIST 800-53为组织提供建立信息安全风险管理框架,选择和制定信息安全控制措施的指导。
基于NIST SP 800-53第五版,阿里云对现有的安全和隐私控制措施和实施情况进行了全面评估。 NIST SP 800-53包含20个控制安全域(族)和总共1189个控制项,其中1007个仍然有效(包括298个基本控制项和709个增强控制项)。 此次评估是对阿里云全面、完整的安全控制评估,特别体现了与云服务相关的控制。 基于云服务的特点和需求,此次评估反映了阿里云现有的GRC治理、风险和合规状况,表明阿里云建立了安全流程、控制和工具来提供安全的云计算平台。
NIST CSF
NIST Cybersecurity Framework (CSF)可以帮助各种规模的企业更好地了解、管理和降低网络安全风险并保护其网络和数据。 作为一个自愿框架,NIST CSF为企业提供了安全最佳实践的概要。 该框架包括五个“功能”,总共细分为23个“类别”。 对于每个类别,它定义了总共108个网络安全目标和安全控制子类别。
阿里云基于NIST CSF v1.1对现有的安全和隐私控制措施和实施情况进行了全面评估,重点关注以下几个方面:
• 阿里云网络安全框架、政策和标准的设计和有效性;
• 网络安全防御能力和响应能力; 和
• 当前防御能力与目标或期望结果之间的差距。
NIST 800-53 v.5信息系统和组织的安全和隐私控制
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
NIST 网络安全框架
https://www.nist.gov/cyberframework