安全管理最佳安全实践之划定基准线一

划定基准线

和比较法概念有关的是基本方法。基准是一个“性能指标的值，通常可以通过对其做出比较来发现性能指标的变化”，例如一个机构每周内遭受攻击数量的基准线。在以后，这个基准线可以作为一个参考点，用来确定平均攻击数量是增加了还是降低了。划定基准线是二个测量过程而不是已建立的标准。在信息安全领域，它涉及到把安全活动和事件同机构未来性能相比较。按照这种思路基准线为内部比较提供了基础。为机构第一次风险评估所收集的信息会成为日后比较的基准。

当划定基准线时，拥有一个全面的过程指南是很有用的。NIST提供了两个报告书，专门用来支持上述活动：

*SP 800-27，信息系统安全的工程原则（获得安全的基本要求），2001年6月

*SP 800-26，信息技术系统安全自我评估指南，2001年11月（在本章其他部分讨论）

这两个文档都可以在http：//csrc.nist.gov/publications/nispubs/index. html找到。

与使用一个完整的方法相比，在安全项目的设计和实施中，使用划定基准线和寻找最佳实践这类方法可能提供的细节较少。然而，通过划定基准线和使用最佳实践，你可以拼凑出所希望的安全过程的结果，然后再回过头来实现一个有效的设计。

网路安全特别行动组也提供了关于最佳实践的信息。这个工作组是很多团体的集合，既包括公共团体的也包括私人团体，在网络安全方面，这些团体有着共同的利益。它为安全实施提供建议。另外一个经常被提及的信息来源是CERT(www.cert.org)，它推广了一系列安全模块，其网站还提供了关于构成安全方法的实践与实施的相关链接。

花费一些时间和金钱去加入一些专家团体是值得的，这些团体会为其成员提供关于最佳实践的信息。技术管理者论坛（www.techforum.com）给出了很多领域内的年度最佳实践，包括信息安全领域。信息安全论坛(www.isfsecuritystandard.com)发行了一个名为黄金实践标准的免费刊物，概述了信息安全最佳实践。