NIT特別報告書800 -12

SP 800-12，即《計算機安全手冊》，對于信息安全的常規管理，是一個很好的參考和指南。然而，在新安全系統的設計和實施方面，它幾乎沒有提供什么指導；如果要對安全背景和術語進行深入理解，那么僅僅把它作為一個補充就可以了。下面摘錄SP 800-12中定義的關于信息種類的一些看法：

SP800-12信息系統安全的OECD指南，該指南經過美國政府認可。它提供了：

*義務：應該明確規定信息系統的所有者、提供者、使用者以及其他各方的責任。

*意識：為了保護信息系統的安全，所有者、提供者、用戶和其他各方應當在維護安全方面保持一致，獲取信息安全方面的有關知識，并了解采取的手段

*道德：當提供和使用信息系統與信息系統安全服務時，應該確保他人的權利和合法利益得到尊重。

*綜合性：信息系統安全的措施、經驗和過程應該考慮并處理所有相關因素和觀點。

*均衡性：相對應于信息系統的依賴程度，以及潛在危害的嚴重程度、發生概率和影響范圍，安全等級、成本、措施、經驗及過程應該與它們相適應并且成比例。

*完整性：保護信息系統的措施、經驗和過程應該互相協調并融為一體，并且還應該同機構內其他措施、經驗和過程互相協調并融為一體，這樣才能創建連貫安全的系統。

*及時性：公有和私有團體，無論是國家級還是國際級的，都應該及時協調以阻止對信息系統安全的破壞并對其做出響應。

*重新評估：信息系統的安全應該得到周期性的重新評估，因為隨著時間的變化，信息系統及其安全需求也在發生變化。

*民主：信息系統安全應該不與社會中數據和信息的合法使用與傳播相抵消。

通過分為3類的17種控制，SP 800-12還展示了NIST的安全管理理念。這3 個種類描述如下：

管理控制部分針對以管理為特征的安全主題。這些主題包括一些技術上的問題及值得關注的地方，通常由機構中計算機安全計劃的管理層提出，側重于管理計算機安全計劃和管理機構內的風險。

操作管理部分針對側重由管理人（相對于系統來說）來實施和執行的安全控制。這些控制用來改善特定系統（或者系統群）的安全，同技術控制一樣，它們通常要求具有專門技術或技能，并且還依賴于管理活動。

技術控制部分針對由計算機系統執行的安全控制。控制的效果依賴于系統的正常運作。然而，技術控制的實施總是需要對操作進行深思熟慮并且應該和機構內的安全管理保持一致。

本章后面的NIST SP 800-26部分更加詳細地討論了控制的17個具體領域。