安全管理模型和实战引言

制定信息安全蓝图，这个蓝图描述了现存的控制并且确定出其他必要的安全控制。蓝图和框架这两个术语很接近：框架是对更为详尽的蓝图的概述，蓝图作为设计、选择和实施所有后续安全控制的基础，包括信息安全策略、安全教育和培训项目以及技术控制。

大多数机构都利用已经建立的安全模型和实践来设计安全蓝图，安全模型是由服务机构提供的通用蓝图。有一些模型属于私有财产，需支付很高的费用；其他的相对来说不那么昂贵，如ISO标准；还有一些是免费的，可以从国家标准技术委员会和许多其他的来源获得。你所选择的模型必须灵活、可升级、可靠并且足够详细。

创建蓝图的另一个方法是参考其他机构采取的办法，在此参照下，可以采用最佳实践或者行业标准。参照法能够提供应该考虑的控制细节，但是它不提供如何将控制付诸实践的实施细节。 ’

改进或者采纳现存的安全管理模型或经验，也是一种选择方法。现在已经有一些公开发布的安全模型和框架，后面将提到政府机构使用的模型和框架。每一 个信息安全环境都是独一无二的，你可能需要做出修改或者撷取多个框架的部分内容。