企业新闻

安全管理实践应有的注意/应有的努力标准

2018-03-01 20:26:50 | 来源:中培企业IT培训网

安全管理实践

在信息安全领域,使用了两类基准:应有的注意/应有的努力以及最佳实践标准。最佳实践包括一个子类——所谓的黄金标准——它通常被认为是“最佳中的最佳”。

应有的注意/应有的努力标准

一个机构可能会因为法律原因,而被迫采纳某种最低限度的安全级别。当一 个机构为了以后为自己辩护为什么采纳最低安全级别时,它们可能需要说明自己已经做了什么,而这些是正是任何谨慎的组织应该采取的行动,这被称为应有的注意标准。在这种最低标准下实施控制,并对它进行维护,说明一个机构已经表现了应有的注意。应有的努力要求一个机构确保这一点:该机构实施的标准可以持续地提供需要的保护等级。如果一个机构做不到对应有的注意/应有的努力标准的支持,则可能会为此承担法律责任,因为它有证据说明这一点:机构忽略或缺乏对信息保护的运用。当机构对客户信息,包括医疗、法律和其他个人数据进行维护时,这些考虑就十分重要。

一个机构需要维护的信息安全保护环境可能会很大并且很复杂。因此,全面实施最佳实践是不可能的。有些机构可以在信息安全上提供很多资金,但对于有些机构来说,要提供与上述机构相同的安全级别,在经济上是不可能的,这要根据该机构划给信息保护的资金预算来确定。信息安全实践通常都会受到相对的看待;如同F.M.Avolio提到的那样,“当前优秀的安全措施好过从未曾有过的完美安全措施。”一些机构可能希望实施最好的、高科技的控制,但是因为经济或者其他原因而做不到这一点。乃至在某一区域建立昂贵的、最高技术水平的安全是达不到预期目标的,这样做仅仅会把其他区域暴露在危险下。取而代之的是,在对个别区域进行改进使其达到更高标准之前,机构应该确保已经使所有区域达到了合适的安全等级,并确保他们已经对所有信息资产进行了充分的保护。

标签: 安全管理