该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针,并作为更广泛行业的基准。因此,它可能对美国技术的使用与实施产生巨大影响。
据悉,该草案的前言参考今年早些时候发布的网络防御任务评估,即所有新设备与系统均对国家关键基础设施存在安全隐患的一说。报告还指出,针对美国关键基础设施的网络攻击超过安全漏洞威胁,美国在未来的十年中必须积极主动的采取系统性的网络防御措施。目前,NIST 试图做到这一点,并主动推出系统性方法。
现今,数百万用户掌握着强大的计算机设备,导致 NIST 的审查不得不考虑到公民隐私安全问题,因此隐私已成为该报告核心内容。报告指出,NIST 最终目标是使国家信息系统能够轻松抵御威胁,减少攻击破坏并使系统迅速恢复。值得注意的是,该报告部分内容此前仅影响美国联邦机构,但现今 NIST 已开始积极将其投放至私营企业并希望建立一个更完整的弹性网络。
除此之外,NIST 还提出一个特定的隐私计划和以隐私为重点的单独培训,其中包括两个广泛的附录,这些附录可以追踪文件中所有不同名称与编号的控件隐私要求和注意事项。
○ 建立和维护一个全面的隐私计划[出自:jiwo.org]
○ 确保符合隐私要求并管理隐私风险
○ 监督联邦法律、法规和变更政策
○ 指派一名高级机构官员监督项目进程
○ 确保隐私计划与其他项目之间的协调
总体而言,虽然文档篇幅较长且密集但它是网络规则的关键文档,将适用于成千上万不同 IT 系统、囊括对隐私与传统服务器设备的多项考虑。据悉,该草案的征求意见截止于 9 月 12 日,NIST 希望能在 10 月份发布最终草案并在年底之前正式推出。
