安全管理模型

有多少顧問，就有多少安全管理模型和實踐。可以從很多地方獲得高質量的安全管理模型，其中兩處就是美國聯邦代理機構和國際組織。實際上，已經有一個非常流行的安全管理模型被認可為國際標準。英國標準7799(BS7799)提供了兩個部分，分別闡述了安全管理實踐的不同領域：

*BS 7799：l 現在被稱為ISO/IEC 17799，信息技術——信息安全管理實施細則

*BS 7799：2信息安全管理：規范及使用指南。

后面將會詳細討論這些文檔，它們屬于私有財產，想采用此模型的機構必須付費購買。

也有許多其他來源可供選擇，首要的是由NIST的計算機安全資源中心( http：//csrc.nist.gov)提供的免費文檔。這個站點有許多報告書，其中一些包含模型和實踐，你已經從本書前面章節中知道了其中的一些內容，在以后的章節中將會學習更多關于以下NIST報告書的內容：

*NIST SP800-12，計算機安全手冊

*NIST SP 800-14，公認的安全原則和操作

*NIST SP800-18，安全計劃開發指南

*NIST SP800-26，信息技術系統安全自我評估指南

*NIST SP800-30，信息技術系統風險管理指南

*Draft NIST SP800-37聯邦信息技術系統安全認證和認可指南

本章還要討論兩個補充資源：

*RFC 2196，站點安全手冊

*VISA，美國持卡人信息安全項目