最近的信息安全事件冲击了许多大型零售商如TAEGET，Home Depot和eBay，使得机构的IT专家认识到安全的重要。尽管许多机构正在采用稳健的安全保护措施，但还是有许多机构只具备最基本的安全防护。

美国国家标准与技术研究院提出了一个安全框架，用来帮助机构进行IT安全活动。于2014年2月发布的国家信息框架及其相关的路线图，提供了一个结构化的模型，用来规划和实现一系列计划，积极的确认和避免潜在的IT安全威胁。该框架对信息安全的帮助显而易见，而其也对业务持续性有重要的指导价值。该框架可以帮助增强你当前的策划活动，因为其可以保证和解决与你的机构相关的信息安全问题。

从机构的业务角度来看，威胁机构持续运营的任何安全问题都与业务持续性有关。这个新的信息安全框架的出现也是业务持续／灾难恢复专家和信息安全专家应该一起合作的另一个原因，以便确保机构免受各种内部和外部威胁。

下面的建议会帮助大家有效利用这个框架，改进自己的信息安全计划。

如果机构已经有信息安全项目在实施，该框架会提供一个有用的测试来保证覆盖所有基本安全事项。如果机构在考虑一个信息安全计划活动以便完善当前的信息安全活动，该框架提供了一个结构化模型，指导机构进行信息安全活动。

“确认”和“信息保护”功能帮助机构为潜在的信息安全做好防护准备，其主要通过风险管理活动，对业务环境的理解，安全需求，存在的安全问题和存取控制措施的分析和教育等多个方面的组合来达到。

通过对当前业务运行中涉及的安全因素的理解，利用本框架来确认一些理解偏差和需要的修正，保证机构和机构所有人员对可能的攻击有充足的准备。

积极的“检查”措施保证机构的网络存取点例如防火墙配备安全设备（如入侵检测系统（IDS）和入侵防止系统（IPS），具有充分的防护。机构的目的是快速确认和表征任何异常且不在可接受包序列内的数据包或者流。一旦确认了异常，“响应”步骤里会抓取异常并尽可能快的隔离异常，以便让异常避免侵入系统并造成损害。

最后，“恢复”步骤包括计划和过程来恢复系统和数据，保证业务功能恢复正常。很有可能机构已经解决了上面信息安全架构提到的所有功能或者几乎所有功能。然而随着信息安全威胁越来越普遍且更加复杂，机构当前的预防性措施也许需要更加经常的更新。路线图文档提供了一些有趣的建议。

信息安全路线图计划

1.增强认证：用这个过程来增强安全。例如，一个容易的转变是切换到二因子认证，如密码加上令牌或者生物认证技术（如指纹录入）。另外可以经常修改密码，比如每30天；设置更加复杂的密码，比如至少16个字符。

2.共享指标数据：获取具体安全事件相关的数据比如事件响应前和响应时的数据，然后把此数据与其他机构共享，帮助其他机构防止，检测，减少类似的安全事件的发生。指标数据可以从入侵检测系统和入侵防止系统设备中获取。

3.合格评定：既然标准和规范是用来处理信息安全威胁，合格评定保证了产品，服务且或者系统满足处理威胁包括检查，解决，减少威胁等步骤所需要的安全需求。

4.受过信息安全教育的人才：随着越来越多的信息安全事件的出现，信息安全标准和实践持续发展。安全专家需要定期更新他们的技能以便完全有能力解决新的且严重的信息安全威胁。

5.信息安全数据分析：收集的信息安全破坏相关的数据和其他主要安全事件的数据必须仔细的分析以便确认这些事件的关键特征。大数据和分析工具的快速发展给结构化和非结构化的信息安全数据的处理提供了可能。为了使分析有价值，必须开发足够强大的数学算法，性能度量指标和利用各种大数据技术的数据分析方法。

6.联邦信息安全计划的一致性：尽管国家信息安全框架和路线图主要是为政府机构开发的，但是其也可以适用于私有行业。这些计划的统一和其他联邦标准（如联邦信息安全管理法案）保证了所有政府机构以一致，可重复的方式来管理信息安全风险和威胁。

7.全球化的意义：因为该框架和路线图参考全球范围内的成熟标准和实践，它们可以用来增加跨国界的信息安全实践，进而提供统一和一致的信息安全结构。

8.供应链风险管理：随着对供应链方面的信息安全管理的逐渐关注，该框架提供了一种供应链所有成员都可以使用的结构，特别是对于与政府机构有业务往来的机构成员。该框架可以辅助机构的业务持续性和灾难恢复活动，因为其提供了一种容易理解和使用的可以适配于业务持续和灾难恢复活动的计划模型。也必须阅读美国国家标准与技术研究院开发的一些标准特别是SP 800-53，该标准阐述了信息安全实践。