9月23日，NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》，该文件一直被视作NIST信息安全的支撑性文件，本次更新旨在开发一个全面的安全和隐私控制目录，用于管理不同规模的组织从超级计算机到工业控制系统再到物联网（IoT）设备的所有类型的系统风险。这些控制措施提供了一种主动而又系统的方法，以确保关键的系统、组件和服务具有足够的可信度和必要的网络弹性，从而维护美国的国家安全和经济利益。

      【注】SP800（SP，Special Publications）是美国国家标准与技术研究院（NIST）发布的一系列关于“信息安全的指南”。在NIST的标准系列文件中，虽然NIST SP并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。NIST SP800系列成为了指导美国信息安全管理建设的主要标准和参考资料。

        SP 800-53是信息安全风险管理框架的重要组成部分，为选择和规定信息系统安全控制措施提供了指导原则。主要介绍了安全控制措施选择和规范化的基本概念以及为信息系统选择和说明控制措施的过程，以帮助组织达到对信息系统安全和风险的有效管理。

         SP 800-53 是不定期更新的文档，第5版的重要变更如下：

         控制要求变为结果导向：从控制说明中删除了“由信息系统、组织满足控制要求”，强调通过应用来实现安全保障作用。为了与上版内容保持连贯，新版在附录C（控制的总结）中额外增加了内容为“由‘系统/组织’实现”的一列。

         合并控制目录：将信息安全和隐私控制集成到系统和组织的统一控制目录中。原修订版4附录J中的隐私控制已合并到新的隐私体系和现有的程序管理体系中。此外，一些隐私控制还被合并到当前的安全控制中，从而使这些控制既可以服务于安全又可以保护隐私，进一步提升了控制功能。

         整合供应链风险管理：建立了一个新的供应链风险管理（SCRM）控制体系，并将这个新的体系与已有体系相结合，以保护关键系统和基础设施中的系统组件、产品和服务。SCRM控制体系有助于解决国家乃至全球供应链在整个系统开发生命周期中的隐私安全和威胁问题。

         将选择控制过程与控制目录分离：新版本拥有一个统一的、独立的控制目录，可允许系统工程师、安全架构师、软件开发人员、企业架构师、系统安全和隐私工程师、业务所有者等各类人员根据组织策略和业务需要使用个性化的流程来选择控制，并使其更好地协作。

         将控制基线和裁剪指南转移到单独的出版物：将控制基线移到了新的NIST SP 800-53B《信息系统和组织的控制基线》中。这三条安全基线和一条隐私基线适用于联邦机构，反映了《联邦信息安全现代化法案（FISMA）》和《管理和预算办公室（OMB）A-130号通知》的具体要求。其他组织可根据其业务需要和组织风险承受能力，选择制定自己的定制基线。

         改进对内容关系的描述：澄清了要求和控制之间的关系，以及安全和隐私控制之间的关系。这些关系有助于用户判断是在企业级选择和实施控制，还是将其作为基于生命周期的系统工程过程的一部分。

         新增可实践控制：随着网络威胁的迅速发展，需要新的保障措施和对策来保护组织的重要资产，包括个人隐私和个人身份信息。版本5基于最新的威胁情报和网络攻击数据增加了新的控制（如支持网络弹性、安全系统设计、安全和隐私治理等）。

         目前，NIST SP 800系列已经出版了近90本同信息安全相关的正式文件，形成了从计划、风险管 理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系，如：

NIST SP800-53和SP800-60描述了信息系统与安全目标及风险级别对应指南

NIST SP800-26和SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

NIST SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-34信息技术系统应急计划指南

NIST SP800-34安全内容自动化协议（SCAP）指南

         此外，NIST还陆续发布了多种框架来帮助用户选择和实施这些控制，包括风险管理框架（RMF）、网络安全框架（CSF）、隐私框架（PF）。这次新版控制目录的内容NIST将以不同格式陆续发布，详情可参见NIST官网：https://csrc.nist.gov。