安全管理實踐

在信息安全領(lǐng)域，使用了兩類基準(zhǔn)：應(yīng)有的注意／應(yīng)有的努力以及最佳實踐標(biāo)準(zhǔn)。最佳實踐包括一個子類——所謂的黃金標(biāo)準(zhǔn)——它通常被認(rèn)為是“最佳中的最佳”。

應(yīng)有的注意／應(yīng)有的努力標(biāo)準(zhǔn)

一個機構(gòu)可能會因為法律原因，而被迫采納某種最低限度的安全級別。當(dāng)一 個機構(gòu)為了以后為自己辯護為什么采納最低安全級別時，它們可能需要說明自己已經(jīng)做了什么，而這些是正是任何謹(jǐn)慎的組織應(yīng)該采取的行動，這被稱為應(yīng)有的注意標(biāo)準(zhǔn)。在這種最低標(biāo)準(zhǔn)下實施控制，并對它進行維護，說明一個機構(gòu)已經(jīng)表現(xiàn)了應(yīng)有的注意。應(yīng)有的努力要求一個機構(gòu)確保這一點：該機構(gòu)實施的標(biāo)準(zhǔn)可以持續(xù)地提供需要的保護等級。如果一個機構(gòu)做不到對應(yīng)有的注意／應(yīng)有的努力標(biāo)準(zhǔn)的支持，則可能會為此承擔(dān)法律責(zé)任，因為它有證據(jù)說明這一點：機構(gòu)忽略或缺乏對信息保護的運用。當(dāng)機構(gòu)對客戶信息，包括醫(yī)療、法律和其他個人數(shù)據(jù)進行維護時，這些考慮就十分重要。

一個機構(gòu)需要維護的信息安全保護環(huán)境可能會很大并且很復(fù)雜。因此，全面實施最佳實踐是不可能的。有些機構(gòu)可以在信息安全上提供很多資金，但對于有些機構(gòu)來說，要提供與上述機構(gòu)相同的安全級別，在經(jīng)濟上是不可能的，這要根據(jù)該機構(gòu)劃給信息保護的資金預(yù)算來確定。信息安全實踐通常都會受到相對的看待；如同F(xiàn).M.Avolio提到的那樣，“當(dāng)前優(yōu)秀的安全措施好過從未曾有過的完美安全措施。”一些機構(gòu)可能希望實施最好的、高科技的控制，但是因為經(jīng)濟或者其他原因而做不到這一點。乃至在某一區(qū)域建立昂貴的、最高技術(shù)水平的安全是達不到預(yù)期目標(biāo)的，這樣做僅僅會把其他區(qū)域暴露在危險下。取而代之的是，在對個別區(qū)域進行改進使其達到更高標(biāo)準(zhǔn)之前，機構(gòu)應(yīng)該確保已經(jīng)使所有區(qū)域達到了合適的安全等級，并確保他們已經(jīng)對所有信息資產(chǎn)進行了充分的保護。