J0ker的CISSP之路:複習-Information Security Management(4)

文章同時發表在： [url]http://netsecurity.51cto.com/art/200710/57991.htm[/url]

   在《J0ker的CISSP之路》系列的上一篇文章裏，J0ker給你們介紹了Information Classification的相關內容，做爲使組織的安全計劃得以更有效進行的工具，Information Classification在安全計劃制定前期有不可替代的重要做用。完成風險分析和信息分級以後，安全計劃的下一步須要作什麼？這即是本文將要介紹的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文檔的準備工做。

     一個信息安全計劃的最終目標，就是要保護目標組織信息資產的完整性、保密性和可用性，而各類針對信息資產的威脅，諸如非受權訪問、篡改、毀壞和泄漏等，卻經常會破壞組織的信息資產。這樣的情況就要求組織把信息安全計劃歸入整個組織的資產保護計劃中去，此外，信息安全技術並不能徹底完全的保護信息資產免受各類威脅的損害，對組織而言，更多的保護工做應該或只能經過管理上的手段來達到目的。所以，要成功實施一個安全計劃，就必須確保組織中的每個人都理解和支持安全計劃，這時，就須要使用安全策略(policy)、安全標準(standard)、安全底線(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段來幫助每個組織成員理解安全計劃，並規範組織成員的行爲。

     做爲安全計劃的負責人，組織的信息安全主管一般要負責制定和部署組織的安全策略、標準、指引和安全流程，而他經常會從IT部門中抽調人手進行這些安全文檔的制定工做。IT技術背景有時能對信息安全主管理解安全計劃的技術方面提供幫助，但過多的技術人員組成卻會對安全主管理解組織的業務目標和戰略形成困難。安全主管在安全文檔的制定過程當中，也經常會從各類資料或諮詢企業中尋求幫助，但從這些途徑中所收集到的信息每每只能做爲「怎麼作」的參考，而不能回答「爲何要這樣作」。所以安全文檔的制定和執行還須要安全主管如同進行風險分析和信息分級 項目那樣，聚集來自組織各個部門的負責人員一塊兒進行。

    另外，組織的運做經常還有法律法規方面的要求，這也須要反映到安全策略和流程中去，而法律法規規定了在組織的運做中，誰應該對什麼負責和應該怎麼作去知足組織的運做要求，這又引入了CISSP CBK中的另外幾個重要概念：Duty of loyalty、Due Care和Due Diligence。
    Duty of loyalty主要是道德及法律上的要求，要求組織成員不該該利用本身所處地位及本身的優點去得到好處；    Due Care是要求組織的管理層應該誠實、審慎、對本身及組織負責；而Due Diligence則是要求組織的管理層必需要作的若干使組織符合法律法規、一致性、安全或程序上要求的事情，ISM CBK提供了Due Diligence的七個要點。根據J0ker的理解，Due Care主要是主觀上須要，而Due Diligence則是客觀上須要的。CISSP考試經常會考察Due Care 和Due Diligence的概念，或利用一個例子來讓考生判斷是Due Care仍是Due Diligence或其餘什麼概念，在複習時應該多留意一下這幾個概念的具體內容和區別。

    說完了安全文檔對安全計劃的意義及相關的內容，咱們從新把注意力集中回這些文檔自己上，先來看一下各文檔的定義：

     Policy：一個組織級的信息安全策略包含了組織管理層對一個安全項目的目標、評價、責任等屬性的指導，還定義了一個組織對信息安全的理解。信息安全策略是簡短的，並不來自於技術或解決方案的，併爲進一步的基於技術或解決方案的Standard（安全標準）等提供管理層的受權。另外若是組織規模較大，還會制定和部署部門級的安全策略文檔，它和組織級的安全策略相相似，但也針對部門的職能進行了進一步的描述和規定。在Official Guide中有關於Policy的示例，有須要的朋友能夠參考一下。
    Standard：安全標準是支持安全策略實施，並經過規定具體的標準和實施的方向來支持使安全策略能更爲有效執行的文檔，它規定了強制性的活動、行爲、規則和制度等，一般會規定具體的技術手段、產品或解決方案等，並在組織內部總體實施。
    Baseline：安全底線和安全標準相相似，也是經過強制性的手段和規定來支持安全策略實施的文檔，但安全底線和安全標準不一樣的地方在於，安全標準更偏重於宏觀上要達到或者要實現什麼目的，而安全底線則是根據同一類型信息資產中不一樣子類型的特色分別制定的強制規則，如組織客戶端使用的操做系統包括Windows 2000、Windows XP和Windows 2003，要求全部的客戶端系統都按照某個廠商某一個版本的反病毒軟件，就是安全標準；而Windows 2000/XP/2003分別進行什麼安全配置，則是安全底線。
    Guideline：安全指導是非強制性的，帶有建議性質的安全文檔，它經過建議組織及其成員，進行建議的行爲或活動，來得到更高的安全級別，或對信息安全有更深刻了解。
    Procedure：安全流程是經過給組織及其成員提供在操做環境中切實可行並具體的每步操做流程和標準，以達到安全策略、安全標準和安全底線等文檔規定要求的文檔。

    在CISSP Official Guide中，還對每個安全文檔都舉出了簡單的例子，並對它們進行了比較，建議有時間的朋友分別閱讀一下，並仔細對比它們之間的聯繫和差異。J0ker作了一個圖，簡單的概括了這些安全文檔的聯繫，圖以下：

圖1

     安全策略、標準、底線、指導和安全流程是確保組織中的每個成員都理解和遵照組織的安全計劃，並完成制定的工做任務的關鍵元素。CISSP考試中一般會出與這些文檔的定義有關的題目，朋友們在複習中能夠多留意下這些知識點之間的聯繫和區別，並經過複習材料中的例子來記憶每一種文檔的寫法。

 

下篇預告：《Information Security Management(終)》，J0ker將介紹信息安全意識教育及部署方式這一信息安全管理的最後內容，並總結信息安全管理CBK所涉及到的知識點，敬請關注！