混合安全管理模型

正如早先在NIST計算機安全手冊(SP 800-12)中所討論到的，以及表6-5列出的那樣，共有3類安全控制：

*管理控制：覆蓋了由策略計劃者設計并由安全管理者實施的安全過程，該手冊對這些主題中的每一個都有更加詳細的說明。

*操作控制：處理機構內部操作功能的安全性。

*技術控制：針對在機構內設計和實施安全的戰術與技術問題。

該手冊使用這3種控制作為基礎，提供了一個各種推薦實踐經驗的集合，稱為混合信息安全框架，表6-7提供了這種方法的概述。

                                                                　　
　　表6-7為信息安全實踐者提供了一個清單和概要。作為一個清單時，它可以像NIST SP 800-26那樣，幫助確保你的計劃包含了所有需要控制的領域；作為一個概要時，它提供了一個方便的途徑，用來在整個信息安全藍圖內對項目管理計劃進行分類。