安全項(xiàng)目的組成部分

任何機(jī)構(gòu)的信息安全需求對(duì)于機(jī)構(gòu)的理念、規(guī)模和預(yù)算來(lái)說(shuō)，與其他部門相比都是獨(dú)特的。決定信息安全項(xiàng)目運(yùn)作水平的是機(jī)構(gòu)的策略計(jì)劃，特別是計(jì)劃的前景和任務(wù)聲明。CIO和CISO應(yīng)該用這兩個(gè)文檔來(lái)策劃對(duì)信息安全項(xiàng)目的任務(wù)聲明，有關(guān)任務(wù)聲明的設(shè)計(jì)指導(dǎo)由Charles Cresson Wood提供。

任務(wù)聲明是對(duì)高層管理希望機(jī)構(gòu)各部門完成目標(biāo)的簡(jiǎn)單陳述。雖然在任務(wù)聲明可以做一個(gè)對(duì)工作的概述，但對(duì)相關(guān)工作的詳細(xì)說(shuō)明是不能缺少的。任務(wù)聲明應(yīng)描述的是整個(gè)部門或類似的多個(gè)機(jī)構(gòu)部門，但不能涉及具體工作職務(wù)。同樣，任務(wù)聲明也不能使用任何技術(shù)語(yǔ)言、縮寫詞或別的行話，因?yàn)榉羌夹g(shù)類員工或高層管理人員并不能馬上理解這些用語(yǔ)。

（美國(guó)）國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)( NIST)發(fā)布的兩個(gè)文檔也可作為制定信息安全項(xiàng)目的指南，第一個(gè)是SP 800-14，安全信息技術(shù)系統(tǒng)的通用原理和實(shí)踐。該文檔為管理機(jī)構(gòu)間業(yè)務(wù)和內(nèi)部業(yè)務(wù)提供了參考依據(jù)。管理層、內(nèi)部審計(jì)員、用戶、系統(tǒng)開發(fā)者以及安全工作者均可通過(guò)該文檔來(lái)理解多數(shù)IT系統(tǒng)所包含的基本安全需求。 該文檔首先介紹了通用的系統(tǒng)安全原理，然后再論述IT系統(tǒng)防護(hù)的一般措施。

NIST公布的第二個(gè)文檔更重要，即SP 800-12，計(jì)算機(jī)安全入門：NIST手冊(cè)。 該手冊(cè)“提供了對(duì)計(jì)算機(jī)安全和信息安全核心主題的全面描述，從而幫助讀者理解計(jì)算機(jī)安全需求并針對(duì)相應(yīng)的安全控制制定一套完整的方案。”這本手冊(cè)涵蓋了許多主題，主要包括以下幾個(gè)方面：

*計(jì)算機(jī)安全的要素任務(wù)和責(zé)任

*一般威脅

*一般信息安全控制

*風(fēng)險(xiǎn)管理

*安全項(xiàng)目管理

*應(yīng)急計(jì)劃

表5。2概括了NIST兩個(gè)文檔的基本計(jì)劃要素。

表5-2所列出的要素與在表5.1中所提出的信息安全項(xiàng)目功能有很多交叉的地方。兩個(gè)表中的信息均可在檢查相應(yīng)的信息安全項(xiàng)目組成部分時(shí)使用。