安全項目的組成部分

任何機(jī)構(gòu)的信息安全需求對于機(jī)構(gòu)的理念、規(guī)模和預(yù)算來說，與其他部門相比都是獨(dú)特的。決定信息安全項目運(yùn)作水平的是機(jī)構(gòu)的策略計劃，特別是計劃的前景和任務(wù)聲明。CIO和CISO應(yīng)該用這兩個文檔來策劃對信息安全項目的任務(wù)聲明，有關(guān)任務(wù)聲明的設(shè)計指導(dǎo)由Charles Cresson Wood提供。

任務(wù)聲明是對高層管理希望機(jī)構(gòu)各部門完成目標(biāo)的簡單陳述。雖然在任務(wù)聲明可以做一個對工作的概述，但對相關(guān)工作的詳細(xì)說明是不能缺少的。任務(wù)聲明應(yīng)描述的是整個部門或類似的多個機(jī)構(gòu)部門，但不能涉及具體工作職務(wù)。同樣，任務(wù)聲明也不能使用任何技術(shù)語言、縮寫詞或別的行話，因為非技術(shù)類員工或高層管理人員并不能馬上理解這些用語。

（美國）國家標(biāo)準(zhǔn)技術(shù)協(xié)會( NIST)發(fā)布的兩個文檔也可作為制定信息安全項目的指南，第一個是SP 800-14，安全信息技術(shù)系統(tǒng)的通用原理和實踐。該文檔為管理機(jī)構(gòu)間業(yè)務(wù)和內(nèi)部業(yè)務(wù)提供了參考依據(jù)。管理層、內(nèi)部審計員、用戶、系統(tǒng)開發(fā)者以及安全工作者均可通過該文檔來理解多數(shù)IT系統(tǒng)所包含的基本安全需求。 該文檔首先介紹了通用的系統(tǒng)安全原理，然后再論述IT系統(tǒng)防護(hù)的一般措施。

NIST公布的第二個文檔更重要，即SP 800-12，計算機(jī)安全入門：NIST手冊。 該手冊“提供了對計算機(jī)安全和信息安全核心主題的全面描述，從而幫助讀者理解計算機(jī)安全需求并針對相應(yīng)的安全控制制定一套完整的方案。”這本手冊涵蓋了許多主題，主要包括以下幾個方面：

*計算機(jī)安全的要素任務(wù)和責(zé)任

*一般威脅

*一般信息安全控制

*風(fēng)險管理

*安全項目管理

*應(yīng)急計劃

表5。2概括了NIST兩個文檔的基本計劃要素。

表5-2所列出的要素與在表5.1中所提出的信息安全項目功能有很多交叉的地方。兩個表中的信息均可在檢查相應(yīng)的信息安全項目組成部分時使用。