最佳安全實(shí)踐

致力于提供高質(zhì)量的信息保障的努力常被稱為最佳業(yè)務(wù)實(shí)踐( best business practice)或者簡稱為最佳實(shí)踐(best practice)。一些機(jī)構(gòu)也把它們稱為推薦實(shí)踐( recommenclecl practices)。業(yè)界中最優(yōu)秀的安全實(shí)踐被稱為最佳安全實(shí)踐(BSPs， best security practices)。這些實(shí)踐使信息訪問需求和適度控制需求保持了一個(gè)相對的平衡。它們致力于為信息和信息系統(tǒng)提供盡可能多的安全，同時(shí)表明了如何劃分財(cái)政責(zé)任，并且還確保了便捷的信息訪問。當(dāng)然，實(shí)施最佳實(shí)踐的公司不一 定在每一個(gè)領(lǐng)域都遙遙領(lǐng)先，他們可能只是在某一領(lǐng)域?qū)崿F(xiàn)了高質(zhì)量或成功的安全。

聯(lián)邦政府建立了一個(gè)網(wǎng)站( http：//fasp.nist.gov)，該網(wǎng)站為政府機(jī)構(gòu)提供了機(jī)會，使它們可以互相分享各自的最佳實(shí)踐經(jīng)驗(yàn)。這個(gè)項(xiàng)目被稱為聯(lián)邦機(jī)構(gòu)安全項(xiàng)目( fecleral agency security project)，它是聯(lián)邦首席信息安全官委員會(federal chief information officer council)屬下的聯(lián)邦最佳安全實(shí)踐(BSPs)的示范性努力所得到的成果，它被用來識別、評估以及傳播計(jì)算機(jī)信息保護(hù)和安全方面的最佳實(shí)踐。FASP站點(diǎn)包括的內(nèi)容有機(jī)構(gòu)策略、過程和實(shí)踐經(jīng)驗(yàn)，CIO示范的BSPs以及常見問題解答部分。

雖然目前并沒有涉及到什么商業(yè)問題的討論，但是對于這里討論的許多BSPs 來說，其適用的信息安全領(lǐng)域卻可以同時(shí)包括公有和私有部門。BSPs被使用到如表6-8所示的領(lǐng)域內(nèi)，這個(gè)表格也對每一個(gè)領(lǐng)域進(jìn)行了描述，并且列舉了在可以從該站點(diǎn)中找到的例子。