400-626-7377NIST SP 800-14中一些更為重要的觀點(diǎn)
NIST SP 800-14中一些更為重要的觀點(diǎn)如下:
①安全為機(jī)構(gòu)任務(wù)提供支持信息安全的實(shí)施不能和機(jī)構(gòu)的任務(wù)相分離,相反,它是由機(jī)構(gòu)的任務(wù)所驅(qū)動(dòng)的。如果一個(gè)機(jī)構(gòu)的系統(tǒng)不是以機(jī)構(gòu)的任務(wù)、前景和文化為基礎(chǔ),那么它注定要失敗。信息安全項(xiàng)目必須支持機(jī)構(gòu)的任務(wù)并對(duì)其起到促進(jìn)作用,這意味著在它的每一個(gè)方針、程序和培訓(xùn)項(xiàng)目中都必須包括任務(wù)因素。
②安全是健全的管理不可或缺的元素有效的管理包括計(jì)劃、組織、領(lǐng)導(dǎo)和控制活動(dòng)。當(dāng)信息安全策略在機(jī)構(gòu)的啟動(dòng)中起到作用時(shí),安全對(duì)計(jì)劃功能提供支持;當(dāng)安全控制同時(shí)對(duì)管理和安全策略進(jìn)行強(qiáng)化時(shí),安全對(duì)控制功能提供支持。
③安全應(yīng)該符合經(jīng)濟(jì)效益如同計(jì)算機(jī)、網(wǎng)絡(luò)和語(yǔ)音通訊系統(tǒng)的成本一樣, 信息安全的成本應(yīng)該被認(rèn)為是業(yè)務(wù)成本的一部分,這些系統(tǒng)都不會(huì)產(chǎn)生利潤(rùn),并可能不會(huì)產(chǎn)生競(jìng)爭(zhēng)優(yōu)勢(shì)。然而,如同第5章討論的那樣,信息安全應(yīng)該證明其自身的價(jià)值,如果一個(gè)安全措施的成本超過(guò)了其利潤(rùn),那么必須有其他業(yè)務(wù)原因才能使其存在變得合理(例如法律要求)。
④系統(tǒng)所有者在自己的機(jī)構(gòu)之外也有安全責(zé)任 只要系統(tǒng)存儲(chǔ)和使用顧客、 病人、客戶(hù)、合伙人的信息,保護(hù)這些數(shù)據(jù)的安全就成為系統(tǒng)所有者的重大責(zé)任。同樣,系統(tǒng)所有者有義務(wù)代表機(jī)構(gòu)所有的利益相關(guān)者保護(hù)信息資產(chǎn),這些利益關(guān)者可以是股份公司中的股東,對(duì)公共機(jī)構(gòu)和其代理機(jī)構(gòu)來(lái)說(shuō),則是政府和納稅人。
⑤應(yīng)該明確計(jì)算機(jī)安全責(zé)任和義務(wù)策略文檔應(yīng)該清楚地確定用戶(hù)、管理員和主管的安全責(zé)任。為了具有法律約束力,這樣的文檔必須得到傳播、閱讀、理解以及同意。如第4章描述的,不懂法律不能成為借口,但是不了解策略卻可以當(dāng)作理由。任何相關(guān)的立法都必須成為安全項(xiàng)目的組成部分。
⑥計(jì)算機(jī)安全需要一個(gè)詳盡完整的方法 正如本書(shū)自始至終強(qiáng)調(diào)的那樣,安全是每一個(gè)人的責(zé)任。在SecSDLC的每個(gè)階段中,3個(gè)利益團(tuán)體——信息技術(shù)管理層和專(zhuān)業(yè)人士,信息安全管理層和專(zhuān)業(yè)人士以及用戶(hù)、主管、管理員和其他更大范圍內(nèi)的機(jī)構(gòu)責(zé)任人——應(yīng)該參加信息安全計(jì)劃的各個(gè)方面。
⑦應(yīng)該對(duì)計(jì)算機(jī)安全進(jìn)行周期性的重新評(píng)估 如果有些信息安全措施雖然得到實(shí)施但最后卻被忽略,那么我們認(rèn)為實(shí)施過(guò)程就有瑕疵。信息安全是一個(gè)進(jìn)行中的步驟,為了在不斷變化的威脅和用戶(hù)面前保持其有效性,安全步驟必須周期性地重復(fù)。必須不斷對(duì)威脅、資產(chǎn)以及控制進(jìn)行分析并且制定新的藍(lán)圖。
⑧安全受到社會(huì)因素的制約 很多因素都會(huì)影響到安全的實(shí)施與維護(hù),例如,法律需求、股東要求甚至業(yè)務(wù)操作都會(huì)影響安全控制和防護(hù)的實(shí)施。 雖然安全專(zhuān)家喜歡把信息資產(chǎn)同因特網(wǎng)——信息資產(chǎn)最主要的威脅來(lái)源
一相隔離,但是機(jī)構(gòu)的業(yè)務(wù)需求卻不可能采取這種安全措施。
表6-3列出了來(lái)自NIST SP 800-14的關(guān)于保障信息技術(shù)系統(tǒng)的一些原則。作為一份藍(lán)圖過(guò)程的清單,該表單提供了一個(gè)方法來(lái)確保所有的關(guān)鍵元素都會(huì)出現(xiàn)在信息安全項(xiàng)目的設(shè)計(jì)過(guò)程中,并確保為計(jì)劃所付出的努力可以為有效的安全結(jié)構(gòu)制定出一個(gè)藍(lán)圖。
