混合安全管理模型

正如早先在NIST計(jì)算機(jī)安全手冊(cè)(SP 800-12)中所討論到的，以及表6-5列出的那樣，共有3類安全控制：

*管理控制：覆蓋了由策略計(jì)劃者設(shè)計(jì)并由安全管理者實(shí)施的安全過(guò)程，該手冊(cè)對(duì)這些主題中的每一個(gè)都有更加詳細(xì)的說(shuō)明。

*操作控制：處理機(jī)構(gòu)內(nèi)部操作功能的安全性。

*技術(shù)控制：針對(duì)在機(jī)構(gòu)內(nèi)設(shè)計(jì)和實(shí)施安全的戰(zhàn)術(shù)與技術(shù)問(wèn)題。

該手冊(cè)使用這3種控制作為基礎(chǔ)，提供了一個(gè)各種推薦實(shí)踐經(jīng)驗(yàn)的集合，稱為混合信息安全框架，表6-7提供了這種方法的概述。

                                                                　　
　　表6-7為信息安全實(shí)踐者提供了一個(gè)清單和概要。作為一個(gè)清單時(shí)，它可以像NIST SP 800-26那樣，幫助確保你的計(jì)劃包含了所有需要控制的領(lǐng)域；作為一個(gè)概要時(shí)，它提供了一個(gè)方便的途徑，用來(lái)在整個(gè)信息安全藍(lán)圖內(nèi)對(duì)項(xiàng)目管理計(jì)劃進(jìn)行分類。