最佳安全实践
致力于提供高质量的信息保障的努力常被称为最佳业务实践( best business practice)或者简称为最佳实践(best practice)。一些机构也把它们称为推荐实践( recommenclecl practices)。业界中最优秀的安全实践被称为最佳安全实践(BSPs, best security practices)。这些实践使信息访问需求和适度控制需求保持了一个相对的平衡。它们致力于为信息和信息系统提供尽可能多的安全,同时表明了如何划分财政责任,并且还确保了便捷的信息访问。当然,实施最佳实践的公司不一 定在每一个领域都遥遥领先,他们可能只是在某一领域实现了高质量或成功的安全。
联邦政府建立了一个网站( http://fasp.nist.gov),该网站为政府机构提供了机会,使它们可以互相分享各自的最佳实践经验。这个项目被称为联邦机构安全项目( fecleral agency security project),它是联邦首席信息安全官委员会(federal chief information officer council)属下的联邦最佳安全实践(BSPs)的示范性努力所得到的成果,它被用来识别、评估以及传播计算机信息保护和安全方面的最佳实践。FASP站点包括的内容有机构策略、过程和实践经验,CIO示范的BSPs以及常见问题解答部分。
虽然目前并没有涉及到什么商业问题的讨论,但是对于这里讨论的许多BSPs 来说,其适用的信息安全领域却可以同时包括公有和私有部门。BSPs被使用到如表6-8所示的领域内,这个表格也对每一个领域进行了描述,并且列举了在可以从该站点中找到的例子。