NIST SP 800-14中一些更為重要的觀點如下：

①安全為機構(gòu)任務(wù)提供支持信息安全的實施不能和機構(gòu)的任務(wù)相分離，相反，它是由機構(gòu)的任務(wù)所驅(qū)動的。如果一個機構(gòu)的系統(tǒng)不是以機構(gòu)的任務(wù)、前景和文化為基礎(chǔ)，那么它注定要失敗。信息安全項目必須支持機構(gòu)的任務(wù)并對其起到促進作用，這意味著在它的每一個方針、程序和培訓(xùn)項目中都必須包括任務(wù)因素。

②安全是健全的管理不可或缺的元素有效的管理包括計劃、組織、領(lǐng)導(dǎo)和控制活動。當(dāng)信息安全策略在機構(gòu)的啟動中起到作用時，安全對計劃功能提供支持；當(dāng)安全控制同時對管理和安全策略進行強化時，安全對控制功能提供支持。

③安全應(yīng)該符合經(jīng)濟效益如同計算機、網(wǎng)絡(luò)和語音通訊系統(tǒng)的成本一樣， 信息安全的成本應(yīng)該被認為是業(yè)務(wù)成本的一部分，這些系統(tǒng)都不會產(chǎn)生利潤，并可能不會產(chǎn)生競爭優(yōu)勢。然而，如同第5章討論的那樣，信息安全應(yīng)該證明其自身的價值，如果一個安全措施的成本超過了其利潤，那么必須有其他業(yè)務(wù)原因才能使其存在變得合理（例如法律要求）。

④系統(tǒng)所有者在自己的機構(gòu)之外也有安全責(zé)任 只要系統(tǒng)存儲和使用顧客、 病人、客戶、合伙人的信息，保護這些數(shù)據(jù)的安全就成為系統(tǒng)所有者的重大責(zé)任。同樣，系統(tǒng)所有者有義務(wù)代表機構(gòu)所有的利益相關(guān)者保護信息資產(chǎn)，這些利益關(guān)者可以是股份公司中的股東，對公共機構(gòu)和其代理機構(gòu)來說，則是政府和納稅人。

⑤應(yīng)該明確計算機安全責(zé)任和義務(wù)策略文檔應(yīng)該清楚地確定用戶、管理員和主管的安全責(zé)任。為了具有法律約束力，這樣的文檔必須得到傳播、閱讀、理解以及同意。如第4章描述的，不懂法律不能成為借口，但是不了解策略卻可以當(dāng)作理由。任何相關(guān)的立法都必須成為安全項目的組成部分。

⑥計算機安全需要一個詳盡完整的方法 正如本書自始至終強調(diào)的那樣，安全是每一個人的責(zé)任。在SecSDLC的每個階段中，3個利益團體——信息技術(shù)管理層和專業(yè)人士，信息安全管理層和專業(yè)人士以及用戶、主管、管理員和其他更大范圍內(nèi)的機構(gòu)責(zé)任人——應(yīng)該參加信息安全計劃的各個方面。

⑦應(yīng)該對計算機安全進行周期性的重新評估 如果有些信息安全措施雖然得到實施但最后卻被忽略，那么我們認為實施過程就有瑕疵。信息安全是一個進行中的步驟，為了在不斷變化的威脅和用戶面前保持其有效性，安全步驟必須周期性地重復(fù)。必須不斷對威脅、資產(chǎn)以及控制進行分析并且制定新的藍圖。

⑧安全受到社會因素的制約 很多因素都會影響到安全的實施與維護，例如，法律需求、股東要求甚至業(yè)務(wù)操作都會影響安全控制和防護的實施。 雖然安全專家喜歡把信息資產(chǎn)同因特網(wǎng)——信息資產(chǎn)最主要的威脅來源

一相隔離，但是機構(gòu)的業(yè)務(wù)需求卻不可能采取這種安全措施。

表6-3列出了來自NIST SP 800-14的關(guān)于保障信息技術(shù)系統(tǒng)的一些原則。作為一份藍圖過程的清單，該表單提供了一個方法來確保所有的關(guān)鍵元素都會出現(xiàn)在信息安全項目的設(shè)計過程中，并確保為計劃所付出的努力可以為有效的安全結(jié)構(gòu)制定出一個藍圖。