最佳安全實踐

致力于提供高質(zhì)量的信息保障的努力常被稱為最佳業(yè)務(wù)實踐( best business practice)或者簡稱為最佳實踐(best practice)。一些機構(gòu)也把它們稱為推薦實踐( recommenclecl practices)。業(yè)界中最優(yōu)秀的安全實踐被稱為最佳安全實踐(BSPs， best security practices)。這些實踐使信息訪問需求和適度控制需求保持了一個相對的平衡。它們致力于為信息和信息系統(tǒng)提供盡可能多的安全，同時表明了如何劃分財政責任，并且還確保了便捷的信息訪問。當然，實施最佳實踐的公司不一 定在每一個領(lǐng)域都遙遙領(lǐng)先，他們可能只是在某一領(lǐng)域?qū)崿F(xiàn)了高質(zhì)量或成功的安全。

聯(lián)邦政府建立了一個網(wǎng)站( http：//fasp.nist.gov)，該網(wǎng)站為政府機構(gòu)提供了機會，使它們可以互相分享各自的最佳實踐經(jīng)驗。這個項目被稱為聯(lián)邦機構(gòu)安全項目( fecleral agency security project)，它是聯(lián)邦首席信息安全官委員會(federal chief information officer council)屬下的聯(lián)邦最佳安全實踐(BSPs)的示范性努力所得到的成果，它被用來識別、評估以及傳播計算機信息保護和安全方面的最佳實踐。FASP站點包括的內(nèi)容有機構(gòu)策略、過程和實踐經(jīng)驗，CIO示范的BSPs以及常見問題解答部分。

雖然目前并沒有涉及到什么商業(yè)問題的討論，但是對于這里討論的許多BSPs 來說，其適用的信息安全領(lǐng)域卻可以同時包括公有和私有部門。BSPs被使用到如表6-8所示的領(lǐng)域內(nèi)，這個表格也對每一個領(lǐng)域進行了描述，并且列舉了在可以從該站點中找到的例子。