安全管理實(shí)踐

在信息安全領(lǐng)域，使用了兩類(lèi)基準(zhǔn)：應(yīng)有的注意／應(yīng)有的努力以及最佳實(shí)踐標(biāo)準(zhǔn)。最佳實(shí)踐包括一個(gè)子類(lèi)——所謂的黃金標(biāo)準(zhǔn)——它通常被認(rèn)為是“最佳中的最佳”。

應(yīng)有的注意／應(yīng)有的努力標(biāo)準(zhǔn)

一個(gè)機(jī)構(gòu)可能會(huì)因?yàn)榉稍?，而被迫采納某種最低限度的安全級(jí)別。當(dāng)一 個(gè)機(jī)構(gòu)為了以后為自己辯護(hù)為什么采納最低安全級(jí)別時(shí)，它們可能需要說(shuō)明自己已經(jīng)做了什么，而這些是正是任何謹(jǐn)慎的組織應(yīng)該采取的行動(dòng)，這被稱(chēng)為應(yīng)有的注意標(biāo)準(zhǔn)。在這種最低標(biāo)準(zhǔn)下實(shí)施控制，并對(duì)它進(jìn)行維護(hù)，說(shuō)明一個(gè)機(jī)構(gòu)已經(jīng)表現(xiàn)了應(yīng)有的注意。應(yīng)有的努力要求一個(gè)機(jī)構(gòu)確保這一點(diǎn)：該機(jī)構(gòu)實(shí)施的標(biāo)準(zhǔn)可以持續(xù)地提供需要的保護(hù)等級(jí)。如果一個(gè)機(jī)構(gòu)做不到對(duì)應(yīng)有的注意／應(yīng)有的努力標(biāo)準(zhǔn)的支持，則可能會(huì)為此承擔(dān)法律責(zé)任，因?yàn)樗凶C據(jù)說(shuō)明這一點(diǎn)：機(jī)構(gòu)忽略或缺乏對(duì)信息保護(hù)的運(yùn)用。當(dāng)機(jī)構(gòu)對(duì)客戶(hù)信息，包括醫(yī)療、法律和其他個(gè)人數(shù)據(jù)進(jìn)行維護(hù)時(shí)，這些考慮就十分重要。

一個(gè)機(jī)構(gòu)需要維護(hù)的信息安全保護(hù)環(huán)境可能會(huì)很大并且很復(fù)雜。因此，全面實(shí)施最佳實(shí)踐是不可能的。有些機(jī)構(gòu)可以在信息安全上提供很多資金，但對(duì)于有些機(jī)構(gòu)來(lái)說(shuō)，要提供與上述機(jī)構(gòu)相同的安全級(jí)別，在經(jīng)濟(jì)上是不可能的，這要根據(jù)該機(jī)構(gòu)劃給信息保護(hù)的資金預(yù)算來(lái)確定。信息安全實(shí)踐通常都會(huì)受到相對(duì)的看待；如同F(xiàn).M.Avolio提到的那樣，“當(dāng)前優(yōu)秀的安全措施好過(guò)從未曾有過(guò)的完美安全措施。”一些機(jī)構(gòu)可能希望實(shí)施最好的、高科技的控制，但是因?yàn)榻?jīng)濟(jì)或者其他原因而做不到這一點(diǎn)。乃至在某一區(qū)域建立昂貴的、最高技術(shù)水平的安全是達(dá)不到預(yù)期目標(biāo)的，這樣做僅僅會(huì)把其他區(qū)域暴露在危險(xiǎn)下。取而代之的是，在對(duì)個(gè)別區(qū)域進(jìn)行改進(jìn)使其達(dá)到更高標(biāo)準(zhǔn)之前，機(jī)構(gòu)應(yīng)該確保已經(jīng)使所有區(qū)域達(dá)到了合適的安全等級(jí)，并確保他們已經(jīng)對(duì)所有信息資產(chǎn)進(jìn)行了充分的保護(hù)。