劃定基準線

和比較法概念有關的是基本方法。基準是一個“性能指標的值，通常可以通過對其做出比較來發現性能指標的變化”，例如一個機構每周內遭受攻擊數量的基準線。在以后，這個基準線可以作為一個參考點，用來確定平均攻擊數量是增加了還是降低了。劃定基準線是二個測量過程而不是已建立的標準。在信息安全領域，它涉及到把安全活動和事件同機構未來性能相比較。按照這種思路基準線為內部比較提供了基礎。為機構第一次風險評估所收集的信息會成為日后比較的基準。

當劃定基準線時，擁有一個全面的過程指南是很有用的。NIST提供了兩個報告書，專門用來支持上述活動：

*SP 800-27，信息系統安全的工程原則（獲得安全的基本要求），2001年6月

*SP 800-26，信息技術系統安全自我評估指南，2001年11月（在本章其他部分討論）

這兩個文檔都可以在http：//csrc.nist.gov/publications/nispubs/index. html找到。

與使用一個完整的方法相比，在安全項目的設計和實施中，使用劃定基準線和尋找最佳實踐這類方法可能提供的細節較少。然而，通過劃定基準線和使用最佳實踐，你可以拼湊出所希望的安全過程的結果，然后再回過頭來實現一個有效的設計。

網路安全特別行動組也提供了關于最佳實踐的信息。這個工作組是很多團體的集合，既包括公共團體的也包括私人團體，在網絡安全方面，這些團體有著共同的利益。它為安全實施提供建議。另外一個經常被提及的信息來源是CERT(www.cert.org)，它推廣了一系列安全模塊，其網站還提供了關于構成安全方法的實踐與實施的相關鏈接。

花費一些時間和金錢去加入一些專家團體是值得的，這些團體會為其成員提供關于最佳實踐的信息。技術管理者論壇（www.techforum.com）給出了很多領域內的年度最佳實踐，包括信息安全領域。信息安全論壇(www.isfsecuritystandard.com)發行了一個名為黃金實踐標準的免費刊物，概述了信息安全最佳實踐。