NIT特別報告書800 -12

SP 800-12，即《計算機安全手冊》，對于信息安全的常規(guī)管理，是一個很好的參考和指南。然而，在新安全系統(tǒng)的設(shè)計和實施方面，它幾乎沒有提供什么指導；如果要對安全背景和術(shù)語進行深入理解，那么僅僅把它作為一個補充就可以了。下面摘錄SP 800-12中定義的關(guān)于信息種類的一些看法：

SP800-12信息系統(tǒng)安全的OECD指南，該指南經(jīng)過美國政府認可。它提供了：

*義務(wù)：應(yīng)該明確規(guī)定信息系統(tǒng)的所有者、提供者、使用者以及其他各方的責任。

*意識：為了保護信息系統(tǒng)的安全，所有者、提供者、用戶和其他各方應(yīng)當在維護安全方面保持一致，獲取信息安全方面的有關(guān)知識，并了解采取的手段

*道德：當提供和使用信息系統(tǒng)與信息系統(tǒng)安全服務(wù)時，應(yīng)該確保他人的權(quán)利和合法利益得到尊重。

*綜合性：信息系統(tǒng)安全的措施、經(jīng)驗和過程應(yīng)該考慮并處理所有相關(guān)因素和觀點。

*均衡性：相對應(yīng)于信息系統(tǒng)的依賴程度，以及潛在危害的嚴重程度、發(fā)生概率和影響范圍，安全等級、成本、措施、經(jīng)驗及過程應(yīng)該與它們相適應(yīng)并且成比例。

*完整性：保護信息系統(tǒng)的措施、經(jīng)驗和過程應(yīng)該互相協(xié)調(diào)并融為一體，并且還應(yīng)該同機構(gòu)內(nèi)其他措施、經(jīng)驗和過程互相協(xié)調(diào)并融為一體，這樣才能創(chuàng)建連貫安全的系統(tǒng)。

*及時性：公有和私有團體，無論是國家級還是國際級的，都應(yīng)該及時協(xié)調(diào)以阻止對信息系統(tǒng)安全的破壞并對其做出響應(yīng)。

*重新評估：信息系統(tǒng)的安全應(yīng)該得到周期性的重新評估，因為隨著時間的變化，信息系統(tǒng)及其安全需求也在發(fā)生變化。

*民主：信息系統(tǒng)安全應(yīng)該不與社會中數(shù)據(jù)和信息的合法使用與傳播相抵消。

通過分為3類的17種控制，SP 800-12還展示了NIST的安全管理理念。這3 個種類描述如下：

管理控制部分針對以管理為特征的安全主題。這些主題包括一些技術(shù)上的問題及值得關(guān)注的地方，通常由機構(gòu)中計算機安全計劃的管理層提出，側(cè)重于管理計算機安全計劃和管理機構(gòu)內(nèi)的風險。

操作管理部分針對側(cè)重由管理人（相對于系統(tǒng)來說）來實施和執(zhí)行的安全控制。這些控制用來改善特定系統(tǒng)（或者系統(tǒng)群）的安全，同技術(shù)控制一樣，它們通常要求具有專門技術(shù)或技能，并且還依賴于管理活動。

技術(shù)控制部分針對由計算機系統(tǒng)執(zhí)行的安全控制。控制的效果依賴于系統(tǒng)的正常運作。然而，技術(shù)控制的實施總是需要對操作進行深思熟慮并且應(yīng)該和機構(gòu)內(nèi)的安全管理保持一致。

本章后面的NIST SP 800-26部分更加詳細地討論了控制的17個具體領(lǐng)域。