信息技术安全服务指南 中文版Guide to Information Techology Sercurity Services翻译稿.docVIP

nist 信息技术安全服务指南 鸣谢 感谢NIST（the National Institute of Standards and Technology）的作者Tim Grance和Joan Hash，以及BAH（Booz Allen Hamilton）的Marc Stevens，Kristofor O’Neal和Nadya Bartol，感谢他们的同事为他们核对有关这篇文件的草稿以及相关的技术内容。同时，我们也相当感谢我们所收到的那些来自于公众的或私人的读者群体对我们的评价。他们的意见让我们对本文的品质和用处做了相应的改进。本文的作者们还尤其要对那些对本文的发展给予实质上的丰厚回馈的主要的机构表示感谢，这些机构包括有：环境保护代理、Treasury部门、田纳西山谷的地方政府以及电子数据系统。本文的作者们还要感谢NIST 的Ron Ross、Gary Stoneburner、Curtis Barker、Ron Tencati、Marianne Swanson和Bill Burr，还有BAH的Alexis Feringa、Don Ottinger、Skip Hirsh、Robert Young和Shirley Radack。感谢他们为本文的发展提供了全面的审核、评价以及周到而细致的辅助工作。 实施概要 组织机构必须经常评估选择一种IT安全部门去维持和改进它们全面的IT安全问题以及事业体系。IT安全部门是有安全政策部门管理的，可能由机构内部的一个IT组来提供或者由一群发展中的小公司群提供。组织可以在服务与服务提供者的激烈竞争并为市场带来创新的时候得到收益。然而，决定一个服务提供者的能力是十分困难和具有挑战性的，服务可靠性的度量是驾御在许多涉及复杂的安全服务协定的基础上的。个别对选择贯彻对付IT安全服务负责的人必须在选择将要被委托见到他们特殊的IT安全问题需求的资源前仔细评估它们的选项。 对于选择贯彻IT安全服务要考虑的因素包括：服务安排的类别；服务提供者的条件；服务提供者雇员的操作要求和能力，经验和创新力和可信任程度；还有服务提供者对组织体系应用及信息提供足够保护的能力。这些考虑因素可以（从不同的程度上）实施到依靠于被考虑的大小，类型，复杂程度，开销和关键性的各个服务或是对服务中组织的工具或合同有具体的需求的服务中去。 本文中提供了机构通过不同得服务流程运转的指南来进行选择实行管理IT安全服务的辅助参考。这种流程运转提供了使IT安全决策者能自始至终地组织好IT安全效率的一个框架。这种对IT安全服务成体系的管理是特别重要的。对许多失误的设计问题考虑以及管理组织的风险会严重地影响到IT安全决策者必须考虑到的涉及成本和根本的安全需求，以及对组织的任务处理战略部署全体职员和服务提供安排决策的潜在影响。 IT安全流程运转的六个阶段是： 第1阶段：初始——机构需要决定如果其进行调查，是否能够使一个完整的计算机安全服务改善其计算机安全程序的效率。 第2阶段：评估——机构使用度量决定当前环境安全的安全状态并确定需求及可行的解决方法。 第3 阶段：解决——决策者评估潜在的解决方案，发展交易事务并详细说明来自可得的选项组合的可接受的服务配置属性。 第4阶段：执行——机构选择并决定服务供给者，发展服务配置及解决方案的落实。 第5阶段：操作——机构确保连贯的监听服务提供者和机构的安全运行的操作上成功，定期的评估风险变化及威胁情况，确保机构安全解决方案以维护安全状态的方式的调节。 第6阶段：终止退出——一旦服务结束或停止时，机构确保一个平滑的转变过渡。 这个引导指南描述了一个生命周期，该生命周期提供一个帮助机构管理IT安全服务事务的文档。然而，指南没有规定或推荐任何的IT安全服务、IT安全服务配置、IT安全服务协议，或IT安全服务供给者。每个机构组织必须运行它所需的分析、估定、选择、实现，且监督所需的最好的IT安全服务地址。 该引导指南应连同其他的关注IT系统取得的 NIST特别出版 (SP)一起使用，它们包括 NIST SP 800-64 Security Considerations in the Information System Development Life Cycle, 和NIST SP 800-36: Guide to Selecting Information Technology Security Products。 NIST SP 800-55, Security Metrics Guide for Information Technology Systems会帮助组织了解使用和发展度量值的重要性。 其他的NIST特别的出版可能对提供特殊服务和技术信息有用，他们包括： SP 800-30: 信息技术系统风险管理指