信息安全管理中安全项目的组成部分

安全项目的组成部分

任何机构的信息安全需求对于机构的理念、规模和预算来说，与其他部门相比都是独特的。决定信息安全项目运作水平的是机构的策略计划，特别是计划的前景和任务声明。CIO和CISO应该用这两个文档来策划对信息安全项目的任务声明，有关任务声明的设计指导由Charles Cresson Wood提供。

任务声明是对高层管理希望机构各部门完成目标的简单陈述。虽然在任务声明可以做一个对工作的概述，但对相关工作的详细说明是不能缺少的。任务声明应描述的是整个部门或类似的多个机构部门，但不能涉及具体工作职务。同样，任务声明也不能使用任何技术语言、缩写词或别的行话，因为非技术类员工或高层管理人员并不能马上理解这些用语。

（美国）国家标准技术协会( NIST)发布的两个文档也可作为制定信息安全项目的指南，第一个是SP 800-14，安全信息技术系统的通用原理和实践。该文档为管理机构间业务和内部业务提供了参考依据。管理层、内部审计员、用户、系统开发者以及安全工作者均可通过该文档来理解多数IT系统所包含的基本安全需求。 该文档首先介绍了通用的系统安全原理，然后再论述IT系统防护的一般措施。

NIST公布的第二个文档更重要，即SP 800-12，计算机安全入门：NIST手册。 该手册“提供了对计算机安全和信息安全核心主题的全面描述，从而帮助读者理解计算机安全需求并针对相应的安全控制制定一套完整的方案。”这本手册涵盖了许多主题，主要包括以下几个方面：

*计算机安全的要素任务和责任

*一般威胁

*一般信息安全控制

*风险管理

*安全项目管理

*应急计划

表5。2概括了NIST两个文档的基本计划要素。

表5-2所列出的要素与在表5.1中所提出的信息安全项目功能有很多交叉的地方。两个表中的信息均可在检查相应的信息安全项目组成部分时使用。