安全管理实践应有的注意／应有的努力标准

安全管理实践

在信息安全领域，使用了两类基准：应有的注意／应有的努力以及最佳实践标准。最佳实践包括一个子类——所谓的黄金标准——它通常被认为是“最佳中的最佳”。

应有的注意／应有的努力标准

一个机构可能会因为法律原因，而被迫采纳某种最低限度的安全级别。当一 个机构为了以后为自己辩护为什么采纳最低安全级别时，它们可能需要说明自己已经做了什么，而这些是正是任何谨慎的组织应该采取的行动，这被称为应有的注意标准。在这种最低标准下实施控制，并对它进行维护，说明一个机构已经表现了应有的注意。应有的努力要求一个机构确保这一点：该机构实施的标准可以持续地提供需要的保护等级。如果一个机构做不到对应有的注意／应有的努力标准的支持，则可能会为此承担法律责任，因为它有证据说明这一点：机构忽略或缺乏对信息保护的运用。当机构对客户信息，包括医疗、法律和其他个人数据进行维护时，这些考虑就十分重要。

一个机构需要维护的信息安全保护环境可能会很大并且很复杂。因此，全面实施最佳实践是不可能的。有些机构可以在信息安全上提供很多资金，但对于有些机构来说，要提供与上述机构相同的安全级别，在经济上是不可能的，这要根据该机构划给信息保护的资金预算来确定。信息安全实践通常都会受到相对的看待；如同F.M.Avolio提到的那样，“当前优秀的安全措施好过从未曾有过的完美安全措施。”一些机构可能希望实施最好的、高科技的控制，但是因为经济或者其他原因而做不到这一点。乃至在某一区域建立昂贵的、最高技术水平的安全是达不到预期目标的，这样做仅仅会把其他区域暴露在危险下。取而代之的是，在对个别区域进行改进使其达到更高标准之前，机构应该确保已经使所有区域达到了合适的安全等级，并确保他们已经对所有信息资产进行了充分的保护。