20.1 安全評估、認證和認可策略和流程（MCC_PPP）

20.1.1　安全保障管理目的

組織機構應建立完善的安全評估、認證和認可體系，以監督和管理組織機構的信息安全保障工作。
安全評估、認證和認可策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核安全評估、認證和認可工作的策略方針、制度規范與程序指南以及第三層表單和程序文件。

20.1.2　MCC_PPP.1 安全評估、認證和認可策略和流程

20.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的安全評估、認證和認可管理策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施安全評估、認證和認可管理策略和相關的符合性管理控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確安全評估、認證和認可管理與運行的過程實施步驟、內容、結果。

20.1.2.2　管理保障控制組件注解

安全評估以及認證、認可策略和流程應符合聯邦法律、指令、策略、規范、標準和指南。安全評估以及認證、認可策略應作為組織機構信息安全策略的一部分。可根據需要，為信息安全規程整體或為某個特定系統來編制安全評估以及認證、認可流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，應參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。