SP 800-37：聯邦IT系統的安全認證與認可指南

NIST提出了一個新的系統認證認可項目，設計該項目是為了達到3個目的：

*開發標準指南和過程，以認證和認可聯邦IT系統（包括美國政府關鍵基礎設施）。

*為聯邦IT系統定義基本的最低安全控制。

*根據標準指南和過程，提升公共的和私人評估機構的開發，以及認證個人是否具備提供高性價比、高質量安全認證的能力。

安全認證認可(C&A)計劃提供了幾個獨有的好處：

*使IT系統的認證更加一致、更具可比性并可以重復使用。

*為授權官員提供更加完整可靠的信息——使他們更好地理解復雜的IT系統以及其相關風險和漏洞——并且，由此使管理者做出更有見地的決定。

*更容易得到令人滿意的安全評價和評估服務。 使聯邦政府的IT系統更加安全。

圖6-3顯示了原版SP 800-37與其他NIST發行物之間的關系。