安全項目的組成部分

任何機構的信息安全需求對于機構的理念、規模和預算來說，與其他部門相比都是獨特的。決定信息安全項目運作水平的是機構的策略計劃，特別是計劃的前景和任務聲明。CIO和CISO應該用這兩個文檔來策劃對信息安全項目的任務聲明，有關任務聲明的設計指導由Charles Cresson Wood提供。

任務聲明是對高層管理希望機構各部門完成目標的簡單陳述。雖然在任務聲明可以做一個對工作的概述，但對相關工作的詳細說明是不能缺少的。任務聲明應描述的是整個部門或類似的多個機構部門，但不能涉及具體工作職務。同樣，任務聲明也不能使用任何技術語言、縮寫詞或別的行話，因為非技術類員工或高層管理人員并不能馬上理解這些用語。

（美國）國家標準技術協會( NIST)發布的兩個文檔也可作為制定信息安全項目的指南，第一個是SP 800-14，安全信息技術系統的通用原理和實踐。該文檔為管理機構間業務和內部業務提供了參考依據。管理層、內部審計員、用戶、系統開發者以及安全工作者均可通過該文檔來理解多數IT系統所包含的基本安全需求。 該文檔首先介紹了通用的系統安全原理，然后再論述IT系統防護的一般措施。

NIST公布的第二個文檔更重要，即SP 800-12，計算機安全入門：NIST手冊。 該手冊“提供了對計算機安全和信息安全核心主題的全面描述，從而幫助讀者理解計算機安全需求并針對相應的安全控制制定一套完整的方案。”這本手冊涵蓋了許多主題，主要包括以下幾個方面：

*計算機安全的要素任務和責任

*一般威脅

*一般信息安全控制

*風險管理

*安全項目管理

*應急計劃

表5。2概括了NIST兩個文檔的基本計劃要素。

表5-2所列出的要素與在表5.1中所提出的信息安全項目功能有很多交叉的地方。兩個表中的信息均可在檢查相應的信息安全項目組成部分時使用。