混合安全管理模型
正如早先在NIST计算机安全手册(SP 800-12)中所讨论到的,以及表6-5列出的那样,共有3类安全控制:
*管理控制:覆盖了由策略计划者设计并由安全管理者实施的安全过程,该手册对这些主题中的每一个都有更加详细的说明。
*操作控制:处理机构内部操作功能的安全性。
*技术控制:针对在机构内设计和实施安全的战术与技术问题。
该手册使用这3种控制作为基础,提供了一个各种推荐实践经验的集合,称为混合信息安全框架,表6-7提供了这种方法的概述。
表6-7为信息安全实践者提供了一个清单和概要。作为一个清单时,它可以像NIST SP 800-26那样,帮助确保你的计划包含了所有需要控制的领域;作为一个概要时,它提供了一个方便的途径,用来在整个信息安全蓝图内对项目管理计划进行分类。