NIST SP 800-14中一些更為重要的觀點(diǎn)如下：

①安全為機(jī)構(gòu)任務(wù)提供支持信息安全的實(shí)施不能和機(jī)構(gòu)的任務(wù)相分離，相反，它是由機(jī)構(gòu)的任務(wù)所驅(qū)動(dòng)的。如果一個(gè)機(jī)構(gòu)的系統(tǒng)不是以機(jī)構(gòu)的任務(wù)、前景和文化為基礎(chǔ)，那么它注定要失敗。信息安全項(xiàng)目必須支持機(jī)構(gòu)的任務(wù)并對(duì)其起到促進(jìn)作用，這意味著在它的每一個(gè)方針、程序和培訓(xùn)項(xiàng)目中都必須包括任務(wù)因素。

②安全是健全的管理不可或缺的元素有效的管理包括計(jì)劃、組織、領(lǐng)導(dǎo)和控制活動(dòng)。當(dāng)信息安全策略在機(jī)構(gòu)的啟動(dòng)中起到作用時(shí)，安全對(duì)計(jì)劃功能提供支持；當(dāng)安全控制同時(shí)對(duì)管理和安全策略進(jìn)行強(qiáng)化時(shí)，安全對(duì)控制功能提供支持。

③安全應(yīng)該符合經(jīng)濟(jì)效益如同計(jì)算機(jī)、網(wǎng)絡(luò)和語(yǔ)音通訊系統(tǒng)的成本一樣， 信息安全的成本應(yīng)該被認(rèn)為是業(yè)務(wù)成本的一部分，這些系統(tǒng)都不會(huì)產(chǎn)生利潤(rùn)，并可能不會(huì)產(chǎn)生競(jìng)爭(zhēng)優(yōu)勢(shì)。然而，如同第5章討論的那樣，信息安全應(yīng)該證明其自身的價(jià)值，如果一個(gè)安全措施的成本超過(guò)了其利潤(rùn)，那么必須有其他業(yè)務(wù)原因才能使其存在變得合理（例如法律要求）。

④系統(tǒng)所有者在自己的機(jī)構(gòu)之外也有安全責(zé)任 只要系統(tǒng)存儲(chǔ)和使用顧客、 病人、客戶、合伙人的信息，保護(hù)這些數(shù)據(jù)的安全就成為系統(tǒng)所有者的重大責(zé)任。同樣，系統(tǒng)所有者有義務(wù)代表機(jī)構(gòu)所有的利益相關(guān)者保護(hù)信息資產(chǎn)，這些利益關(guān)者可以是股份公司中的股東，對(duì)公共機(jī)構(gòu)和其代理機(jī)構(gòu)來(lái)說(shuō)，則是政府和納稅人。

⑤應(yīng)該明確計(jì)算機(jī)安全責(zé)任和義務(wù)策略文檔應(yīng)該清楚地確定用戶、管理員和主管的安全責(zé)任。為了具有法律約束力，這樣的文檔必須得到傳播、閱讀、理解以及同意。如第4章描述的，不懂法律不能成為借口，但是不了解策略卻可以當(dāng)作理由。任何相關(guān)的立法都必須成為安全項(xiàng)目的組成部分。

⑥計(jì)算機(jī)安全需要一個(gè)詳盡完整的方法 正如本書(shū)自始至終強(qiáng)調(diào)的那樣，安全是每一個(gè)人的責(zé)任。在SecSDLC的每個(gè)階段中，3個(gè)利益團(tuán)體——信息技術(shù)管理層和專業(yè)人士，信息安全管理層和專業(yè)人士以及用戶、主管、管理員和其他更大范圍內(nèi)的機(jī)構(gòu)責(zé)任人——應(yīng)該參加信息安全計(jì)劃的各個(gè)方面。

⑦應(yīng)該對(duì)計(jì)算機(jī)安全進(jìn)行周期性的重新評(píng)估 如果有些信息安全措施雖然得到實(shí)施但最后卻被忽略，那么我們認(rèn)為實(shí)施過(guò)程就有瑕疵。信息安全是一個(gè)進(jìn)行中的步驟，為了在不斷變化的威脅和用戶面前保持其有效性，安全步驟必須周期性地重復(fù)。必須不斷對(duì)威脅、資產(chǎn)以及控制進(jìn)行分析并且制定新的藍(lán)圖。

⑧安全受到社會(huì)因素的制約 很多因素都會(huì)影響到安全的實(shí)施與維護(hù)，例如，法律需求、股東要求甚至業(yè)務(wù)操作都會(huì)影響安全控制和防護(hù)的實(shí)施。 雖然安全專家喜歡把信息資產(chǎn)同因特網(wǎng)——信息資產(chǎn)最主要的威脅來(lái)源

一相隔離，但是機(jī)構(gòu)的業(yè)務(wù)需求卻不可能采取這種安全措施。

表6-3列出了來(lái)自NIST SP 800-14的關(guān)于保障信息技術(shù)系統(tǒng)的一些原則。作為一份藍(lán)圖過(guò)程的清單，該表單提供了一個(gè)方法來(lái)確保所有的關(guān)鍵元素都會(huì)出現(xiàn)在信息安全項(xiàng)目的設(shè)計(jì)過(guò)程中，并確保為計(jì)劃所付出的努力可以為有效的安全結(jié)構(gòu)制定出一個(gè)藍(lán)圖。