博客
什么是NIST SP 800-171?符合NIST SP 800-171的提示
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

NIST特殊出版物800-171,保护非今日足球直播比赛系统和组织中的受控未分类信息(NIST SP 800-171或NIST 800-171),为今日足球直播比赛机构提供了一套指南,旨在确保非今日足球直播比赛系统和组织中的受控未分类信息(CUI)保持机密和不变。

CUI的保护对今日足球直播比赛机构至关重要,并且可以直接影响其成功执行其指定任务和业务运营的能力。 

具体来说,NIST SP 800-171提供了一组建议的安全要求,以保护 机密性,可用性和完整性 of CUI that:

  • 居住在非今日足球直播比赛系统和组织中
  • 不代表今日足球直播比赛机构收集或维护,也不代表机构使用或运行系统
  • 对于CUI类别或子类别的授权法律,法规或政府范围的政策,对于保护CUI的机密性没有特定的保护要求。

安全要求旨在供今日足球直播比赛机构在合同车辆或这些机构与非今日足球直播比赛组织之间建立的协议中使用。

为什么NIST SP 800-171很重要?

今天,美国政府比以往任何时候都更依赖外部服务提供商来执行广泛的任务和业务职能。 

例如,许多今日足球直播比赛承包商在其系统中例行处理,存储和传输敏感信息,以支持向今日足球直播比赛机构交付产品或服务。

此外,今日足球直播比赛信息经常提供给州和地方政府,学院,大学和独立研究组织或与之共享。 

NIST SP 800-171非常重要,因为它旨在保护驻留在其中的敏感今日足球直播比赛信息。 第三方供应商,政府承包商或服务提供商.

这对今日足球直播比赛机构至关重要,并且可以直接影响今日足球直播比赛政府成功执行其指定任务和业务运营(包括与关键基础设施有关的任务)的能力。 

以前 欧宝 失败向我们展示了 敏感数据 可以组合在一起以阐明其他秘密计划。 

NIST SP 800-171的目的是什么?

NIST SP 800-171的创建旨在提供有关安全要求的准则,以保护受控的未分类信息(CUI)。 

为此,它提供了一组14种安全要求类别,以支持安全和弹性数据处理的开发。

这些安全控制措施是运营,技术和管理方面的保障措施,在使用这些维护措施时,应保持 机密性,完整性和可用性 并防止未经授权访问敏感信息。 

此方法旨在帮助非今日足球直播比赛实体使用已经存在的系统和实践来遵守安全要求,而不是尝试使用特定于政府的方法。 

这些安全要求适用于处理,存储或传输CUI或为该组件提供安全保护的非今日足球直播比赛系统和组织的任何组件。  

注意:信息系统的使用已由系统一词代替,以反映更为广泛的整体定义,其中可能包括通用信息系统,工业和过程控制系统,网络物理系统以及属于该系统一部分的单个设备。物联网(IoT)。 

NIST SP 800-171,像 NIST SP 800-53,是 NIST特殊出版物(SP)800系列 基于 信息技术实验室's (ITL) 研究和指南。 

800系列旨在通过控制合规性和安全性措施提供多层的风险管理方法。 

总体而言,它们为今日足球直播比赛机构及其供应链提供了最低限度的可接受性 信息安全 管理敏感政府数据的标准。

NIST SP 800-171的目标受众是谁?

NIST SP 800-171为公共和私营部门的多元化服务群体提供服务,包括但不限于具有以下方面的个人:

  • 系统开发生命周期职责(例如,程序经理,业务所有者,信息所有者,系统设计师和开发人员,安全工程师和系统集成商)
  • 采购或采购责任(例如承包商人员)
  • 系统,安全,风险管理或监督职责(例如,授权官员,首席信息官,首席信息安全官,系统所有者,信息安全经理) 
  • 安全评估和监视职责(例如审核员,系统评估员,评估员,独立验证者,分析师)

以上角色和职责并非无所不包,应从两个不同的角度来看:今日足球直播比赛实体在合同或其他组织间协议中建立和传达安全要求,非今日足球直播比赛实体对合同或其他组织中概述的安全要求做出回应并遵守协议。 

谁必须遵守NIST SP 800-171?

与第三方以及由今日足球直播比赛机构使用的任何非今日足球直播比赛系统或组织接触的任何今日足球直播比赛机构。 

此外,美国国防部(DoD)已开始要求通过DFARS为其所有合同和DoD承包商遵守NIST SP 800-171。实际上,截至2017年12月,受国防部合同约束的所有研究项目必须符合NIST 800-171。 

符合NIST SP 800-171有什么好处?

NIST SP 800-171提供了一种处理受控未分类信息(CUI)的标准化方法。

CUI程序通过标准化程序并通过CUI注册中心提供通用定义,解决了在管理和保护未分类信息方面的一些缺陷,包括不一致的市场营销,不足的保护措施和不必要的限制。

通过遵守NIST SP 800-171,您还将满足以下大多数标准 NIST SP 800-53 并符合NIST SP 800-53是 FISMA and 今日足球直播比赛RAMP compliance.

这也将改善您的组织's 安全态势 and 防止数据泄露 通过为信息处理提供安全的基础。 

此外,遵守NIST SP 800-171和其他最佳实践可以帮助您的组织遵守其他数据保护法律和法规,包括 SHIELD法案LGPDGDPR注册会计师GLBA皮派达HIPAAPCI DSS and 23 NYCRR 500.

如何符合NIST SP 800-171

NIST SP 800-181概述了14个安全要求系列,以保护非今日足球直播比赛系统和组织中CUI的机密性。

此外,组织可以使用NIST SP 800-53中的安全控制来获取与安全要求有关的其他非说明性信息,以及有关它们如何相互关联的补充指南。  

例如,控件3.1.19要求组织“对移动设备和移动计算平台上的CUI进行加密".

非今日足球直播比赛组织必须创建描述如何满足指定的安全要求的系统安全计划(SSP)。 SSP应该描述系统边界,操作环境,如何实现安全要求以及与其他系统的关系或与其他系统的连接。 

对于任何未实现的安全性要求,应创建一个行动计划,以描述如何满足这些要求以及如何实施计划的缓解措施。 

组织可以以任何选定格式将系统安全计划和行动计划记录为单独的文件或合并的文件。

根据要求,可以将系统安全计划和相关的行动计划提交给负责的今日足球直播比赛机构或承包商,以证明您对安全要求的实施或计划的实施。

这些文件将送入今日足球直播比赛机构'通过系统或组织处理,存储或传输CUI的总体风险管理决策。  

NIST SP 800-171中有14个安全要求类别?

  • 访问控制
  • 意识训练
  • 审计与问责
  • 配置管理
  • 身份验证
  • 事件响应
  • 保养
  • 媒体保护
  • 人事安全
  • 实物保护
  • 风险评估
  • 安全评估
  • 系统与通讯保护
  • 系统和信息完整性

在此处阅读有关NIST SP 800-171的基本安全要求。.

受控未分类信息(CUI)的定义是什么? 

受控未分类信息是法律,法规或政府范围内的政策要求具有维护或传播控制措施的任何信息,但不包括根据  第13526号行政命令,国家保密信息,2009年12月29日,或任何前任或后继命令,或 1954年《原子能法》, 经修正。

批准的CUI类别在 CUI注册表

什么是CUI注册表? 

CUI注册表是一个在线存储库,提供有关处理CUI的信息,指南,政策和要求。 

此外,CUI注册管理机构确定了控制的基础,并规定了使用CUI的程序,包括但不限于信息的标记,保护,运输,传播,重用和处置。  

批准的CUI类别是什么?

批准的CUI类别为:

  • 关键基础设施
  • 防御
  • 出口管制
  • 金融
  • 出入境
  • 情报
  • 国际协定
  • 执法
  • 法律
  • 自然和文化资源
  • 北约
  • 专利
  • 隐私
  • 采购与采购
  • 专有业务信息
  • 临时
  • 统计
  • 运输

在此处阅读有关CUI类别的更多信息.

NIST SP 800-171与FISMA有何关系?

的 今日足球直播比赛信息安全管理法(FISMA) 是美国今日足球直播比赛法律,它定义了一个全面的框架来保护政府信息,运营和资产免受自然和人为威胁,包括 网络攻击数据泄露 and 数据泄漏.

FISMA要求今日足球直播比赛政府机构,具有今日足球直播比赛计划的州机构以及支持,出售或从政府获得服务的私人部门公司开发,记录和实施基于风险的 信息安全政策 和基于NIST 800系列的程序。 

NIST SP 800-53与FedRAMP有何关系?

的 今日足球直播比赛风险与授权管理计划(FedRAMP) 旨在简化与云服务提供商的今日足球直播比赛机构合同。 

今日足球直播比赛RAMP认证过程要求第三方评估组织(3PAO)评估云服务提供商的安全控制。

这是通过安全评估计划(SAP),对安全控制进行初始和定期评估并生成安全评估报告(SAR)来完成的。 

然后将这些资产提交给 联合授权委员会 或要审核的代理商。 

如果获得授权,云服务提供商将被授予 操作权限(ATO) 并放在 今日足球直播比赛RAMP市场 其他机构可以找到满足其需求和安全要求的服务。 

3PAO每年都会对ATO认证进行一次审核,如果有任何偏差要求或重大更改,则应进行更频繁的审核。

谁发布了NIST SP 800-171?

NIST SP 800-171由发布 美国国家标准技术研究院(NIST),这是一家非监管机构 商务部

NIST旨在通过促进和维护一系列行业标准来鼓励和协助创新与科学,例如 NIST网络安全框架.

NIST SP 800-53是旨在帮助今日足球直播比赛机构和承包商满足由美国国家标准制定的要求的标准和准则之一。 今日足球直播比赛信息安全管理法(FISMA)。国家标准技术研究所'其他职责是制定今日足球直播比赛信息处理标准(FIPS)。 

NIST SP 800-171何时更新?

最新更新是2016年12月的修订版1。

这是勘误表更新,其中包括对选择CUI安全要求的一些小的编辑更改,其他参考和定义以及一个新附录,其中包含有关每个CUI要求的扩展讨论。 

最大的变化是从保护非今日足球直播比赛信息系统和组织中的非保密信息到保护非今日足球直播比赛系统和组织中的非保密信息,这反映了随着计算平台和技术在世界范围内的普及,系统和组件之间通过有线和有线方式连接。在无线网络中,CUI对丢失或承诺的敏感性不断提高-此类事件可能会带来不利后果。

UpGuard如何改善您的网络安全

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露 并评估他们的安全控制。 

UpGuard BreachSight 可以帮助您的组织监视50多种安全控制措施,从而提供简单易懂的信息 网络安全等级.

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 and providing 供应商问卷模板 that map to the NIST网络安全框架 和其他最佳做法。我们可以帮助您持续监控供应商'随着时间的流逝而形成的安全态势,同时将它们与行业进行比较 

每个供应商均根据50多个标准(例如是否存在 SSL协议 and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

We're experts in 数据泄露 and 数据泄漏, 我们的 研究 已在 纽约时报华尔街日报彭博社华盛顿邮报福布斯路透社 and Techcrunch。

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订UpGuard平台的演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状