安全管理實踐

在信息安全領域，使用了兩類基準：應有的注意／應有的努力以及最佳實踐標準。最佳實踐包括一個子類——所謂的黃金標準——它通常被認為是“最佳中的最佳”。

應有的注意／應有的努力標準

一個機構可能會因為法律原因，而被迫采納某種最低限度的安全級別。當一 個機構為了以后為自己辯護為什么采納最低安全級別時，它們可能需要說明自己已經(jīng)做了什么，而這些是正是任何謹慎的組織應該采取的行動，這被稱為應有的注意標準。在這種最低標準下實施控制，并對它進行維護，說明一個機構已經(jīng)表現(xiàn)了應有的注意。應有的努力要求一個機構確保這一點：該機構實施的標準可以持續(xù)地提供需要的保護等級。如果一個機構做不到對應有的注意／應有的努力標準的支持，則可能會為此承擔法律責任，因為它有證據(jù)說明這一點：機構忽略或缺乏對信息保護的運用。當機構對客戶信息，包括醫(yī)療、法律和其他個人數(shù)據(jù)進行維護時，這些考慮就十分重要。

一個機構需要維護的信息安全保護環(huán)境可能會很大并且很復雜。因此，全面實施最佳實踐是不可能的。有些機構可以在信息安全上提供很多資金，但對于有些機構來說，要提供與上述機構相同的安全級別，在經(jīng)濟上是不可能的，這要根據(jù)該機構劃給信息保護的資金預算來確定。信息安全實踐通常都會受到相對的看待；如同F(xiàn).M.Avolio提到的那樣，“當前優(yōu)秀的安全措施好過從未曾有過的完美安全措施。”一些機構可能希望實施最好的、高科技的控制，但是因為經(jīng)濟或者其他原因而做不到這一點。乃至在某一區(qū)域建立昂貴的、最高技術水平的安全是達不到預期目標的，這樣做僅僅會把其他區(qū)域暴露在危險下。取而代之的是，在對個別區(qū)域進行改進使其達到更高標準之前，機構應該確保已經(jīng)使所有區(qū)域達到了合適的安全等級，并確保他們已經(jīng)對所有信息資產(chǎn)進行了充分的保護。