NIST和NIACAP是两个为信息系统安全相关人员提供问责制的框架。它们涉及安全控制、系统特性和风险评估以及认证决定和认证建议的核查和确认。NIST是一个处理非机密信息的过程,通常称为SBU(敏感但非机密)。NIST的方法可从以下网址下载:http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf
Evan尽管NIST和NIACAP非常相似,NIACAP的方法在某种程度上被弃用了,一些联邦机构仍然在使用它,但趋势是转向NIST。
描述C&A过程,NIST和NIACAP有四个阶段(NIACAP阶段与DITSCAP阶段):
NIST的阶段:
1.初始化
2.认证
3.认证
4.监控
NIACAP阶段:
1.定义
2.验证
3.验证
4.Post-accreditation
就像我之前说的,NIST和NIACAP都非常相似,但让我们看看哪些是不同的。
NIST于2004年5月发布。作为一个69页的文档,NIST很容易理解并且写得很好。使用NIST模型的公司使用特别出版物800-37作为指导和C&A要求。800-37规定了公司必须付诸实施的计划、程序、行动和政策。正如我之前提到的,你可以从这里下载NIST文档:http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf
NIACAP已经有12年的历史了,它的指导方针被定义在一份名为nstisi 1000的文件中,该文件可以从这里下载:http://www.cnss.gov/Assets/pdf/nstissi_1000.pdf