信息安全政策与信息安全计划

Question

我有一个关于NIST 800-53的指导的问题.

NIST 800-53中的PM-1控制要求制定信息安全计划.此计划通常包括所有组织的信息安全策略(公共控件)吗？信息安全计划能否被视为信息安全政策？

Answer 1

您的信息安全策略不同于您的信息安全计划：

您的信息安全计划应包括在组织范围内实施信息安全策略所需的所有操作。虽然两者紧密相连，但它们也是单独的文件。

可靠的信息安全计划通常包括几个阶段，具体取决于您现有的基础设施、网络/系统拓扑结构和配置。您可能需要几个不同的技术阶段来实现所需的安全控制，而不会造成重大的服务中断。这完全是主观的，这取决于你，安全工程师，设想。

请注意，如果您的组织需要遵守NIST 800-53，则需要一个关键词:您的组织应显示出尽职调查和实施所有所需项目的证据，以及尽可能多的“建议”或“推荐”项目，技术上可能/可行。

祝好运!