制定信息安全蓝图,这个蓝图描述了现存的控制并且确定出其他必要的安全控制。蓝图和框架这两个术语很接近:框架是对更为详尽的蓝图的概述,蓝图作为设计、选择和实施所有后续安全控制的基础,包括信息安全策略、安全教育和培训项目以及技术控制。
大多数机构都利用已经建立的安全模型和实践来设计安全蓝图,安全模型是由服务机构提供的通用蓝图。有一些模型属于私有财产,需支付很高的费用;其他的相对来说不那么昂贵,如ISO标准;还有一些是免费的,可以从国家标准技术委员会和许多其他的来源获得。你所选择的模型必须灵活、可升级、可靠并且足够详细。
创建蓝图的另一个方法是参考其他机构采取的办法,在此参照下,可以采用最佳实践或者行业标准。参照法能够提供应该考虑的控制细节,但是它不提供如何将控制付诸实践的实施细节。 ’
改进或者采纳现存的安全管理模型或经验,也是一种选择方法。现在已经有一些公开发布的安全模型和框架,后面将提到政府机构使用的模型和框架。每一 个信息安全环境都是独一无二的,你可能需要做出修改或者撷取多个框架的部分内容。