国家标准技术研究院（NIST）最低安全要求的最佳来源-标准

NIST出版物
NIST制定并维护了大量有关信息和信息系统的安全性和隐私性的标准，指南，建议和研究。这包括各种NIST技术出版物系列：

资料来源：NIST出版物

NIST RMF

-NIST RMF –风险管理框架（NIST SP 800-12 R1）

FIPS 200 –联邦信息和信息系统的最低安全要求

以下是有关最低安全要求的FIPS 200摘录：
最低安全要求(MINIMUM SECURITY REQUIREMENTS)
最低安全要求涵盖十七个与安全相关的领域，以保护联邦信息系统以及由这些系统处理，存储和传输的信息的机密性，完整性和可用性。与安全有关的领域包括：（i）访问控制；（ii）意识和培训；（iii）审计和问责制；（iv）认证，认可和安全评估；（v）配置管理；（vi）应变计划；（vii）识别和认证；（viii）事件响应；（ix）维修；（x）媒体保护；（xi）物理和环境保护；（xii）规划；（xiii）人员安全；（xiv）风险评估；（十五）系统和服务的获取；（xvi）系统和通讯保护；（xvii）系统和信息完整性。
政策和程序在联邦政府内部有效实施企业范围内的信息安全计划以及由此产生的用於保护联邦信息和信息系统的安全措施的成功中起着重要作用。因此，组织必须制定并颁布正式的，成文的政策和程序来管理此标准中规定的最低安全要求，并且必须确保其有效实施。
最低安全要求规范
访问控制（AC）：组织必须将信息系统访问限制为授权用户，代表授权用户执行的过程或设备（包括其他信息系统）以及允许授权用户执行的交易类型和功能。
意识和培训（AT）：组织必须：（i）确保组织信息系统的管理人员和用户意识到与其活动相关的安全风险以及适用的法律，行政命令，指令，政策，标准，说明，与组织信息系统的安全性有关的法规或程序；（ii）确保对组织人员进行充分的培训，以执行其分配的与信息安全相关的职责。

参考
. NIST出版物

资料来源： Wentz Wu QOTD-20201223