選擇最佳實踐

選擇實施哪一個推薦實踐可能會對某些機(jī)構(gòu)提出挑戰(zhàn)。在由政府機(jī)構(gòu)控制的行業(yè)里，政府的指導(dǎo)方針通常是必須滿足的需求。但是對于其他的機(jī)構(gòu)，政府的指導(dǎo)方針僅僅被作為一個不錯的信息來源，可以說明要求其他機(jī)構(gòu)采取的用來控制信息安全風(fēng)險的步驟，并且可以知道他們所選擇的最佳實踐。

當(dāng)為機(jī)構(gòu)選擇最佳實踐時，考慮以下問題：

*機(jī)構(gòu)和使用該最佳實踐的目標(biāo)機(jī)構(gòu)是否有相似之處？

*你們和該目標(biāo)是否位于相似的行業(yè)中？一個非常適合制造業(yè)機(jī)構(gòu)中的策略可能在非營利機(jī)構(gòu)中卻不是很實用。

*機(jī)構(gòu)和目標(biāo)機(jī)構(gòu)是否面對相似的難題？如果你的機(jī)構(gòu)缺少一個能正常工作的信息安全計劃，擁有一個可以引入該計劃的最佳實踐目標(biāo)就很有價值。

*機(jī)構(gòu)和目標(biāo)機(jī)構(gòu)是否有相似的結(jié)構(gòu)？一個給小規(guī)模辦公室的最佳實踐不適用于跨國公司。

*你能夠提供的資源是否和最佳實踐所要求的資源相似？如果你的計劃必須處理預(yù)算限制問題，那么那些要求無限資金的最佳實踐建議其價值是有限的。

你的機(jī)構(gòu)和采取相同最佳實踐的機(jī)構(gòu)是否處在相似的威脅環(huán)境之中？只進(jìn)行了幾個月或者幾周時間的最佳實踐可能不適用于當(dāng)前的威脅環(huán)境。為了看清最佳實踐多快就會作廢，想想現(xiàn)代機(jī)構(gòu)所需的關(guān)于網(wǎng)絡(luò)連接性的最佳實踐就可以了，同5年前相比，21世紀(jì)初的最佳實踐發(fā)生了多大的變化！

另外還有一個關(guān)于最佳實踐的資料來源，即卡耐基一梅隆大學(xué)計算機(jī)應(yīng)急響應(yīng)小組( CERT)所經(jīng)營的站點（www.cert. ort/security-improvement/），它以HTML和PDF格式提供了大量的安全改進(jìn)模塊和實踐經(jīng)驗。同樣，微軟也在它的站點( www.microsoft.com/privacy/safeinternet／security/best_practices/default. html)中也發(fā)布了一組安全最佳實踐。

微軟把重點放在7個關(guān)鍵策略上：

*使用反病毒軟件

*使用強(qiáng)力密碼

*檢查你的軟件安全設(shè)置

*升級產(chǎn)品的安全功能

*構(gòu)建個人防火墻

*及早并經(jīng)常備份

*防治電涌（指電力突變）與斷電

這些資料來源只是眾多支持最佳安全實踐的公共和私人機(jī)構(gòu)中的一小部分。 花上幾個小時在網(wǎng)上搜索，你就會發(fā)現(xiàn)有很多其他提供補(bǔ)充信息的地方。實際上，尋找關(guān)于安全設(shè)計的信息是一件相對容易的事情；從收集到的大量信息、文檔、出版物中做出選擇，卻可能需要投入大量時間和人力資源。這樣做的目的是要獲得一個明確的方法，以創(chuàng)建一個框架，該框架會引導(dǎo)我們開發(fā)安全系統(tǒng)的藍(lán)圖，而該藍(lán)圖則提供了關(guān)于在策略、教育以及培訓(xùn)計劃和技術(shù)領(lǐng)域內(nèi)實施必須組件的細(xì)節(jié)問題。