選擇最佳實踐

選擇實施哪一個推薦實踐可能會對某些機構提出挑戰。在由政府機構控制的行業里，政府的指導方針通常是必須滿足的需求。但是對于其他的機構，政府的指導方針僅僅被作為一個不錯的信息來源，可以說明要求其他機構采取的用來控制信息安全風險的步驟，并且可以知道他們所選擇的最佳實踐。

當為機構選擇最佳實踐時，考慮以下問題：

*機構和使用該最佳實踐的目標機構是否有相似之處？

*你們和該目標是否位于相似的行業中？一個非常適合制造業機構中的策略可能在非營利機構中卻不是很實用。

*機構和目標機構是否面對相似的難題？如果你的機構缺少一個能正常工作的信息安全計劃，擁有一個可以引入該計劃的最佳實踐目標就很有價值。

*機構和目標機構是否有相似的結構？一個給小規模辦公室的最佳實踐不適用于跨國公司。

*你能夠提供的資源是否和最佳實踐所要求的資源相似？如果你的計劃必須處理預算限制問題，那么那些要求無限資金的最佳實踐建議其價值是有限的。

你的機構和采取相同最佳實踐的機構是否處在相似的威脅環境之中？只進行了幾個月或者幾周時間的最佳實踐可能不適用于當前的威脅環境。為了看清最佳實踐多快就會作廢，想想現代機構所需的關于網絡連接性的最佳實踐就可以了，同5年前相比，21世紀初的最佳實踐發生了多大的變化！

另外還有一個關于最佳實踐的資料來源，即卡耐基一梅隆大學計算機應急響應小組( CERT)所經營的站點（www.cert. ort/security-improvement/），它以HTML和PDF格式提供了大量的安全改進模塊和實踐經驗。同樣，微軟也在它的站點( www.microsoft.com/privacy/safeinternet／security/best_practices/default. html)中也發布了一組安全最佳實踐。

微軟把重點放在7個關鍵策略上：

*使用反病毒軟件

*使用強力密碼

*檢查你的軟件安全設置

*升級產品的安全功能

*構建個人防火墻

*及早并經常備份

*防治電涌（指電力突變）與斷電

這些資料來源只是眾多支持最佳安全實踐的公共和私人機構中的一小部分。 花上幾個小時在網上搜索，你就會發現有很多其他提供補充信息的地方。實際上，尋找關于安全設計的信息是一件相對容易的事情；從收集到的大量信息、文檔、出版物中做出選擇，卻可能需要投入大量時間和人力資源。這樣做的目的是要獲得一個明確的方法，以創建一個框架，該框架會引導我們開發安全系統的藍圖，而該藍圖則提供了關于在策略、教育以及培訓計劃和技術領域內實施必須組件的細節問題。