NIST特別報告書800-26

NIST SP 800-26，信息技術(shù)系統(tǒng)安全自我評估指南，描述了包括管理控制、操作控制和技術(shù)控制等17個領(lǐng)域。如同表6-5中所列示出，這17個領(lǐng)域構(gòu)成了NIST安全管理結(jié)構(gòu)的核心。

　　在這些領(lǐng)域里，必須考慮檢查信息系統(tǒng)處理的信息，并對保護(hù)措施進(jìn)行評估。 把處理的信息和3個基本的信息保護(hù)要求（機(jī)密性、完整性和可用性）中的每一個聯(lián)系起來，另外，根據(jù)敏感等級將系統(tǒng)分類或者分組通常很有用。下例描述了一 般敏感信息的3種分類級別：

*高：如果信息遭到損壞，就會對美國國家利益造成及其嚴(yán)重的損害，可能導(dǎo)致人員死亡、監(jiān)禁、較大經(jīng)濟(jì)損失，是否需要采取法律手段加以訂正。

*中：如果信息遭到損壞，就會對美國國家利益造成嚴(yán)重的損害，可能造成重大財產(chǎn)損失，是否需要采取法律手段加以訂正。

*低：如果信息遭到損壞，就會對美國國家利益造成損害；可能僅僅造成小的財產(chǎn)損失，是否只需要調(diào)整管理手段加以訂正。

表6-5顯示的所有主題都來自于早期的文檔以及信息安全專家的知識和經(jīng)驗。