【精品】信息技术安全服务指南中文版GuidetoInformationTechologySercurityServices翻译稿.doc

NIST 信息技术安全服务指南鸣谢感谢 NIST ( the National Institute of Standards and Technology ) 的作者 Tim Granc e 和 Joan Hash ,以及 BAH ( Booz Allen Hamilton )的 Marc Stevens , Kristofor O’ Nea l 和 Nadya Bartol , 感谢他们的同事为他们核对有关这篇文件的草稿以及相关的技术内容。同时,我们也相当感谢我们所收到的那些来自于公众的或私人的读者群体对我们的评价。他们的意见让我们对本文的品质和用处做了相应的改进。本文的作者们还尤其要对那些对本文的发展给予实质上的丰厚回馈的主要的机构表示感谢, 这些机构包括有: 环境保护代理、 Treasury 部门、田纳西山谷的地方政府以及电子数据系统。本文的作者们还要感谢 NIST 的 Ron Ross 、 Gary Stoneburner 、 Curtis Barker 、 Ron Tencati 、 Marianne Swanson 和 Bill Burr ,还有 BAH 的 Alexis Feringa 、 Don Ottinger 、 Skip Hirsh 、 Robert Young 和 Shirley Radack 。感谢他们为本文的发展提供了全面的审核、评价以及周到而细致的辅助工作。实施概要组织机构必须经常评估选择一种 IT 安全部门去维持和改进它们全面的 IT安全问题以及事业体系。 IT 安全部门是有安全政策部门管理的, 可能由机构内部的一个 IT 组来提供或者由一群发展中的小公司群提供。组织可以在服务与服务提供者的激烈竞争并为市场带来创新的时候得到收益。然而,决定一个服务提供者的能力是十分困难和具有挑战性的,服务可靠性的度量是驾御在许多涉及复杂的安全服务协定的基础上的。个别对选择贯彻对付 IT 安全服务负责的人必须在选择将要被委托见到他们特殊的 IT 安全问题需求的资源前仔细评估它们的选项。对于选择贯彻 IT 安全服务要考虑的因素包括: 服务安排的类别; 服务提供者的条件;服务提供者雇员的操作要求和能力,经验和创新力和可信任程度;还有服务提供者对组织体系应用及信息提供足够保护的能力。这些考虑因素可以(从不同的程度上)实施到依靠于被考虑的大小,类型,复杂程度,开销和关键性的各个服务或是对服务中组织的工具或合同有具体的需求的服务中去。本文中提供了机构通过不同得服务流程运转的指南来进行选择实行管理 IT 安全服务的辅助参考。这种流程运转提供了使 IT 安全决策者能自始至终地组织好 IT 安全效率的一个框架。这种对 IT 安全服务成体系的管理是特别重要的。对许多失误的设计问题考虑以及管理组织的风险会严重地影响到 IT 安全决策者必须考虑到的涉及成本和根本的安全需求,以及对组织的任务处理战略部署全体职员和服务提供安排决策的潜在影响。 IT 安全流程运转的六个阶段是: 任何一个被提及是商业化的产品或者是参考资料对于商业机构而言都是唯一的信息,它不仅意味着对 NIST 的推荐与认可,也是一种对产品最有利的必要的介绍。?第1 阶段: 初始——机构需要决定如果其进行调查, 是否能够使一个完整的计算机安全服务改善其计算机安全程序的效率。?第2 阶段: 评估——机构使用度量决定当前环境安全的安全状态并确定需求及可行的解决方法。?第3 阶段:解决——决策者评估潜在的解决方案,发展交易事务并详细说明来自可得的选项组合的可接受的服务配置属性。?第4 阶段: 执行——机构选择并决定服务供给者, 发展服务配置及解决方案的落实。?第5 阶段: 操作——机构确保连贯的监听服务提供者和机构的安全运行的操作上成功,定期的评估风险变化及威胁情况,确保机构安全解决方案以维护安全状态的方式的调节。?第6 阶段: 终止退出——一旦服务结束或停止时, 机构确保一个平滑的转变过渡。这个引导指南描述了一个生命周期, 该生命周期提供一个帮助机构管理 IT安全服务事务的文档。然而, 指南没有规定或推荐任何的 IT 安全服务、 IT 安全服务配置、 IT 安全服务协议,或 IT 安全服务供给者。每个机构组织必须运行它所需的分析、估定、选择、实现,且监督所需的最好的 IT 安全服务地址。该引导指南应连同其他的关注 IT 系统取得的 NIST 特别出版(SP) 一起使用, 它们包括 NIST SP 800-64 Security Considerations in the Information System Development Life Cycle, 和 NIST SP 800-36: Guide to Selecting Information Technology Sec