安全管理實(shí)踐

在信息安全領(lǐng)域，使用了兩類基準(zhǔn)：應(yīng)有的注意／應(yīng)有的努力以及最佳實(shí)踐標(biāo)準(zhǔn)。最佳實(shí)踐包括一個子類——所謂的黃金標(biāo)準(zhǔn)——它通常被認(rèn)為是“最佳中的最佳”。

應(yīng)有的注意／應(yīng)有的努力標(biāo)準(zhǔn)

一個機(jī)構(gòu)可能會因?yàn)榉稍颍黄炔杉{某種最低限度的安全級別。當(dāng)一 個機(jī)構(gòu)為了以后為自己辯護(hù)為什么采納最低安全級別時，它們可能需要說明自己已經(jīng)做了什么，而這些是正是任何謹(jǐn)慎的組織應(yīng)該采取的行動，這被稱為應(yīng)有的注意標(biāo)準(zhǔn)。在這種最低標(biāo)準(zhǔn)下實(shí)施控制，并對它進(jìn)行維護(hù)，說明一個機(jī)構(gòu)已經(jīng)表現(xiàn)了應(yīng)有的注意。應(yīng)有的努力要求一個機(jī)構(gòu)確保這一點(diǎn)：該機(jī)構(gòu)實(shí)施的標(biāo)準(zhǔn)可以持續(xù)地提供需要的保護(hù)等級。如果一個機(jī)構(gòu)做不到對應(yīng)有的注意／應(yīng)有的努力標(biāo)準(zhǔn)的支持，則可能會為此承擔(dān)法律責(zé)任，因?yàn)樗凶C據(jù)說明這一點(diǎn)：機(jī)構(gòu)忽略或缺乏對信息保護(hù)的運(yùn)用。當(dāng)機(jī)構(gòu)對客戶信息，包括醫(yī)療、法律和其他個人數(shù)據(jù)進(jìn)行維護(hù)時，這些考慮就十分重要。

一個機(jī)構(gòu)需要維護(hù)的信息安全保護(hù)環(huán)境可能會很大并且很復(fù)雜。因此，全面實(shí)施最佳實(shí)踐是不可能的。有些機(jī)構(gòu)可以在信息安全上提供很多資金，但對于有些機(jī)構(gòu)來說，要提供與上述機(jī)構(gòu)相同的安全級別，在經(jīng)濟(jì)上是不可能的，這要根據(jù)該機(jī)構(gòu)劃給信息保護(hù)的資金預(yù)算來確定。信息安全實(shí)踐通常都會受到相對的看待；如同F(xiàn).M.Avolio提到的那樣，“當(dāng)前優(yōu)秀的安全措施好過從未曾有過的完美安全措施。”一些機(jī)構(gòu)可能希望實(shí)施最好的、高科技的控制，但是因?yàn)榻?jīng)濟(jì)或者其他原因而做不到這一點(diǎn)。乃至在某一區(qū)域建立昂貴的、最高技術(shù)水平的安全是達(dá)不到預(yù)期目標(biāo)的，這樣做僅僅會把其他區(qū)域暴露在危險下。取而代之的是，在對個別區(qū)域進(jìn)行改進(jìn)使其達(dá)到更高標(biāo)準(zhǔn)之前，機(jī)構(gòu)應(yīng)該確保已經(jīng)使所有區(qū)域達(dá)到了合適的安全等級，并確保他們已經(jīng)對所有信息資產(chǎn)進(jìn)行了充分的保護(hù)。