NIST特别报告书800-26
NIST SP 800-26,信息技术系统安全自我评估指南,描述了包括管理控制、操作控制和技术控制等17个领域。如同表6-5中所列示出,这17个领域构成了NIST安全管理结构的核心。
在这些领域里,必须考虑检查信息系统处理的信息,并对保护措施进行评估。 把处理的信息和3个基本的信息保护要求(机密性、完整性和可用性)中的每一个联系起来,另外,根据敏感等级将系统分类或者分组通常很有用。下例描述了一 般敏感信息的3种分类级别:
*高:如果信息遭到损坏,就会对美国国家利益造成及其严重的损害,可能导致人员死亡、监禁、较大经济损失,是否需要采取法律手段加以订正。
*中:如果信息遭到损坏,就会对美国国家利益造成严重的损害,可能造成重大财产损失,是否需要采取法律手段加以订正。
*低:如果信息遭到损坏,就会对美国国家利益造成损害;可能仅仅造成小的财产损失,是否只需要调整管理手段加以订正。
表6-5显示的所有主题都来自于早期的文档以及信息安全专家的知识和经验。