安全管理模型中的混合安全管理模型

混合安全管理模型

正如早先在NIST计算机安全手册(SP 800-12)中所讨论到的，以及表6-5列出的那样，共有3类安全控制：

*管理控制：覆盖了由策略计划者设计并由安全管理者实施的安全过程，该手册对这些主题中的每一个都有更加详细的说明。

*操作控制：处理机构内部操作功能的安全性。

*技术控制：针对在机构内设计和实施安全的战术与技术问题。

该手册使用这3种控制作为基础，提供了一个各种推荐实践经验的集合，称为混合信息安全框架，表6-7提供了这种方法的概述。

                                                                　　
　　表6-7为信息安全实践者提供了一个清单和概要。作为一个清单时，它可以像NIST SP 800-26那样，帮助确保你的计划包含了所有需要控制的领域；作为一个概要时，它提供了一个方便的途径，用来在整个信息安全蓝图内对项目管理计划进行分类。