<tt id="8hexo"></tt> 
?
為信息系統和機構挑選和執行安全控制,對于機構運行、機構資產以及個人福祉和國家來說,是會產生重大影響的重要任務。所謂安全控制,是指為信息系統或機構規定的防護措施/對策,旨在:
?
1、保護這些系統處理、存儲和傳輸的信息的保密性、完整性和可用性。
2、滿足一整套定義明確的安全要求。
?
機構在考慮信息系統的信息安全時,應該回答一下幾個關鍵問題:
?
1、需要什么樣的安全控制來滿足安全要求和適當抑制因機構在執行任務和業務功能時使用信息和信息系統而帶來的風險?
2、安全控制落到實處了嗎?抑或說,是否有課一個切實可行的執行計劃?
3、對于保證被選中的安全控制產生執行效果,有什么程度的預期或要求?
?
對這些問題不能孤立地回答,而要放在行之有效的風險管理流程的背景下綜合考慮,因為機構正是借助風險管理流程來識別、必要時抑制和不間斷監測來自信息和信息系統的風險的。NIST特別出版物800-39對如何在3個不同層面管理信息安全風險提供了指南,這3個層面是:機構層面、任務/業務流程層面和信息系統層面。本文定義并建議機構用來滿足信息安全要求的安全控制,應該放到定義明確的風險管理流程中執行,作為流程的組成部分支持機構的信息安全方案。
?
機構負責官員必須了解可能會對機構運行和資產、人員、其他機構和國家產生負面影響的風險和其他因素。此外,對本單位的安全方案以及規劃中或已實施的保護信息和信息系統的安全控制的當前狀態,機構負責官員也必須了如指掌;唯有如此,才能做出明智判斷和投資,把風險降至可接受水平。機構的最終目標是達到OMB A-130通告定義的適當安全,也就是達到足以抵御未經授權訪問、使用、泄露、中斷、篡改或毀壞信息之風險的安全水平,以此來實現日常工作正常運轉和旅行既定任務和業務職能。
