NIST SP 800-14中一些更为重要的观点如下:
①安全为机构任务提供支持信息安全的实施不能和机构的任务相分离,相反,它是由机构的任务所驱动的。如果一个机构的系统不是以机构的任务、前景和文化为基础,那么它注定要失败。信息安全项目必须支持机构的任务并对其起到促进作用,这意味着在它的每一个方针、程序和培训项目中都必须包括任务因素。
②安全是健全的管理不可或缺的元素有效的管理包括计划、组织、领导和控制活动。当信息安全策略在机构的启动中起到作用时,安全对计划功能提供支持;当安全控制同时对管理和安全策略进行强化时,安全对控制功能提供支持。
③安全应该符合经济效益如同计算机、网络和语音通讯系统的成本一样, 信息安全的成本应该被认为是业务成本的一部分,这些系统都不会产生利润,并可能不会产生竞争优势。然而,如同第5章讨论的那样,信息安全应该证明其自身的价值,如果一个安全措施的成本超过了其利润,那么必须有其他业务原因才能使其存在变得合理(例如法律要求)。
④系统所有者在自己的机构之外也有安全责任 只要系统存储和使用顾客、 病人、客户、合伙人的信息,保护这些数据的安全就成为系统所有者的重大责任。同样,系统所有者有义务代表机构所有的利益相关者保护信息资产,这些利益关者可以是股份公司中的股东,对公共机构和其代理机构来说,则是政府和纳税人。
⑤应该明确计算机安全责任和义务策略文档应该清楚地确定用户、管理员和主管的安全责任。为了具有法律约束力,这样的文档必须得到传播、阅读、理解以及同意。如第4章描述的,不懂法律不能成为借口,但是不了解策略却可以当作理由。任何相关的立法都必须成为安全项目的组成部分。
⑥计算机安全需要一个详尽完整的方法 正如本书自始至终强调的那样,安全是每一个人的责任。在SecSDLC的每个阶段中,3个利益团体——信息技术管理层和专业人士,信息安全管理层和专业人士以及用户、主管、管理员和其他更大范围内的机构责任人——应该参加信息安全计划的各个方面。
⑦应该对计算机安全进行周期性的重新评估 如果有些信息安全措施虽然得到实施但最后却被忽略,那么我们认为实施过程就有瑕疵。信息安全是一个进行中的步骤,为了在不断变化的威胁和用户面前保持其有效性,安全步骤必须周期性地重复。必须不断对威胁、资产以及控制进行分析并且制定新的蓝图。
⑧安全受到社会因素的制约 很多因素都会影响到安全的实施与维护,例如,法律需求、股东要求甚至业务操作都会影响安全控制和防护的实施。 虽然安全专家喜欢把信息资产同因特网——信息资产最主要的威胁来源
一相隔离,但是机构的业务需求却不可能采取这种安全措施。
表6-3列出了来自NIST SP 800-14的关于保障信息技术系统的一些原则。作为一份蓝图过程的清单,该表单提供了一个方法来确保所有的关键元素都会出现在信息安全项目的设计过程中,并确保为计划所付出的努力可以为有效的安全结构制定出一个蓝图。