为信息系统和机构挑选和执行安全控制,对于机构运行、机构资产以及个人福祉和国家来说,是会产生重大影响的重要任务。所谓安全控制,是指为信息系统或机构规定的防护措施/对策,旨在:
1、保护这些系统处理、存储和传输的信息的保密性、完整性和可用性。
2、满足一整套定义明确的安全要求。
机构在考虑信息系统的信息安全时,应该回答一下几个关键问题:
1、需要什么样的安全控制来满足安全要求和适当抑制因机构在执行任务和业务功能时使用信息和信息系统而带来的风险?
2、安全控制落到实处了吗?抑或说,是否有课一个切实可行的执行计划?
3、对于保证被选中的安全控制产生执行效果,有什么程度的预期或要求?
对这些问题不能孤立地回答,而要放在行之有效的风险管理流程的背景下综合考虑,因为机构正是借助风险管理流程来识别、必要时抑制和不间断监测来自信息和信息系统的风险的。NIST特别出版物800-39对如何在3个不同层面管理信息安全风险提供了指南,这3个层面是:机构层面、任务/业务流程层面和信息系统层面。本文定义并建议机构用来满足信息安全要求的安全控制,应该放到定义明确的风险管理流程中执行,作为流程的组成部分支持机构的信息安全方案。
机构负责官员必须了解可能会对机构运行和资产、人员、其他机构和国家产生负面影响的风险和其他因素。此外,对本单位的安全方案以及规划中或已实施的保护信息和信息系统的安全控制的当前状态,机构负责官员也必须了如指掌;唯有如此,才能做出明智判断和投资,把风险降至可接受水平。机构的最终目标是达到OMB A-130通告定义的适当安全,也就是达到足以抵御未经授权访问、使用、泄露、中断、篡改或毁坏信息之风险的安全水平,以此来实现日常工作正常运转和旅行既定任务和业务职能。