NIST特別報告書800-26

NIST SP 800-26，信息技術系統安全自我評估指南，描述了包括管理控制、操作控制和技術控制等17個領域。如同表6-5中所列示出，這17個領域構成了NIST安全管理結構的核心。

　　在這些領域里，必須考慮檢查信息系統處理的信息，并對保護措施進行評估。 把處理的信息和3個基本的信息保護要求（機密性、完整性和可用性）中的每一個聯系起來，另外，根據敏感等級將系統分類或者分組通常很有用。下例描述了一 般敏感信息的3種分類級別：

*高：如果信息遭到損壞，就會對美國國家利益造成及其嚴重的損害，可能導致人員死亡、監禁、較大經濟損失，是否需要采取法律手段加以訂正。

*中：如果信息遭到損壞，就會對美國國家利益造成嚴重的損害，可能造成重大財產損失，是否需要采取法律手段加以訂正。

*低：如果信息遭到損壞，就會對美國國家利益造成損害；可能僅僅造成小的財產損失，是否只需要調整管理手段加以訂正。

表6-5顯示的所有主題都來自于早期的文檔以及信息安全專家的知識和經驗。