NIST SP 800-14中一些更為重要的觀點如下：

①安全為機構任務提供支持信息安全的實施不能和機構的任務相分離，相反，它是由機構的任務所驅動的。如果一個機構的系統不是以機構的任務、前景和文化為基礎，那么它注定要失敗。信息安全項目必須支持機構的任務并對其起到促進作用，這意味著在它的每一個方針、程序和培訓項目中都必須包括任務因素。

②安全是健全的管理不可或缺的元素有效的管理包括計劃、組織、領導和控制活動。當信息安全策略在機構的啟動中起到作用時，安全對計劃功能提供支持；當安全控制同時對管理和安全策略進行強化時，安全對控制功能提供支持。

③安全應該符合經濟效益如同計算機、網絡和語音通訊系統的成本一樣， 信息安全的成本應該被認為是業務成本的一部分，這些系統都不會產生利潤，并可能不會產生競爭優勢。然而，如同第5章討論的那樣，信息安全應該證明其自身的價值，如果一個安全措施的成本超過了其利潤，那么必須有其他業務原因才能使其存在變得合理（例如法律要求）。

④系統所有者在自己的機構之外也有安全責任 只要系統存儲和使用顧客、 病人、客戶、合伙人的信息，保護這些數據的安全就成為系統所有者的重大責任。同樣，系統所有者有義務代表機構所有的利益相關者保護信息資產，這些利益關者可以是股份公司中的股東，對公共機構和其代理機構來說，則是政府和納稅人。

⑤應該明確計算機安全責任和義務策略文檔應該清楚地確定用戶、管理員和主管的安全責任。為了具有法律約束力，這樣的文檔必須得到傳播、閱讀、理解以及同意。如第4章描述的，不懂法律不能成為借口，但是不了解策略卻可以當作理由。任何相關的立法都必須成為安全項目的組成部分。

⑥計算機安全需要一個詳盡完整的方法 正如本書自始至終強調的那樣，安全是每一個人的責任。在SecSDLC的每個階段中，3個利益團體——信息技術管理層和專業人士，信息安全管理層和專業人士以及用戶、主管、管理員和其他更大范圍內的機構責任人——應該參加信息安全計劃的各個方面。

⑦應該對計算機安全進行周期性的重新評估 如果有些信息安全措施雖然得到實施但最后卻被忽略，那么我們認為實施過程就有瑕疵。信息安全是一個進行中的步驟，為了在不斷變化的威脅和用戶面前保持其有效性，安全步驟必須周期性地重復。必須不斷對威脅、資產以及控制進行分析并且制定新的藍圖。

⑧安全受到社會因素的制約 很多因素都會影響到安全的實施與維護，例如，法律需求、股東要求甚至業務操作都會影響安全控制和防護的實施。 雖然安全專家喜歡把信息資產同因特網——信息資產最主要的威脅來源

一相隔離，但是機構的業務需求卻不可能采取這種安全措施。

表6-3列出了來自NIST SP 800-14的關于保障信息技術系統的一些原則。作為一份藍圖過程的清單，該表單提供了一個方法來確保所有的關鍵元素都會出現在信息安全項目的設計過程中，并確保為計劃所付出的努力可以為有效的安全結構制定出一個藍圖。