NIST SP 800-53 控制项目录

NIST 的 Special Publication 800-53 —— 给美国联邦政府用的信息系统安全和隐私控制项目录。

是什么

一份超长清单,列出 ~1000 个具体的、可执行的控制项。 分 20 个 family(AC = Access Control、AU = Audit、CM = Config Management 等)。

例: AC-7 Unsuccessful Logon Attempts 就规定了”系统应该在 N 次失败登录后锁账户”这种具体要求。

跟其他框架的关系

框架	抽象层次
NIST CSF	战略地图(5 个 function)
NIST RMF	战术流程(7 个 step)
NIST 800-53	具体控制项目录(~1000 个 control)

RMF 第 3 步 “Select” 就是从 800-53 里挑控制项来用。

谁必须遵守

• 美国联邦机构 —— 强制
• 联邦承包商、云服务商(想拿 FedRAMP)—— 强制
• 私营企业 —— 自愿,但是事实标准

ISO 27001 是国际版的对标,但 800-53 控制项更细更多。