J0ker的CISSP之路：複習-Information Security Management（3）

本文同時發表在： [url]http://netsecurity.51cto.com/art/200710/57471.htm[/url]

    在《J0ker的CISSP之路》的上一個文章裏，J0ker給你們簡單介紹了風險分析和評估的一些要點。咱們都知道，若是同時作多個事情，就須要按照事情的輕重緩急來安排好執行的順序和投入，實施信息安全項目時也必須如此，須要根據所要保護的信息資產的價值，來部署不一樣的安全方案，進行費效比評估，本文J0ker將向你們介紹的Information Classification（信息分級），即是這樣一個幫助組織更有效的進行安全項目的重要工具。

 

什麼是信息分級？
      信息分級是組織根據信息的業務風險（Business Risk）、數據自己價值和其餘的標準，對信息進行等級的劃分。組織能夠經過信息分級，發現影響影響組織業務的最顯著因素，並根據信息等級對信息實施不一樣的保護、備份恢復等方案。信息分級的目的在於下降組織保護自身全部信息的成本，同時，信息分級對關鍵信息的標識，也能夠加強組織的決策能力。

 

組織實施信息分級有什麼好處？
     信息分級應該在組織級的層次上進行實施，若是在部門級別或更低的層次上進行實施，則體現不出它的優點。組織實施信息分級的好處有：

    一、組織範圍的全部數據由於實施了正確的保護措施而提升了保密性、完整性和可用性
     二、組織能夠儘量有效的利用信息保護的預算，由於組織能夠根據信息等級設計和部署最合適的保護方案
    三、組織的決策能力和準確性得以經過信息分級來加強

此外，組織還能經過信息分級的處理過程，從新整理自身的業務流程和信息處理需求。

 

信息分級的通常流程
各個組織由於自身的狀況不一樣，信息分級項目的流程都各不相同。CISSP Official Guide中提供了一個比較有效通用的流程，J0ker將要把它列在下面，並簡單說一下CISSP考試中常見的題型和考察的重點，同時，這些知識點也是一個CISSP應該精通的內容。

 

一個標準信息分級項目的流程有：
     一、初始準備，Official Guide裏面把這個階段歸納爲」Question to ask「，並提供了若干問題，信息分級項目的主管應保證這個階段的問題都獲得滿意解答才繼續項目。這些問題分別是：

     管理層是否支持這個信息分級項目，無論信息分級項目仍是其餘更大的安全項目，管理層對項目的支持是項目成功的首要因素，CISSP CBK一直貫徹這個觀點，也反映在CISSP考試的試卷上；
    要保護的信息對象和風險因素是什麼，這能夠經過接下去的風險分析步驟來獲得解答；
是否有法律法規上的要求，信息分級項目主管在實施項目時要優先考慮法律法規方面的因素；
    組織的信息是否爲整個業務流程所擁有(Has the business accepted owner shipre sponsibility for the data)，按J0ker的理解，這個問題問的應該是組織是否已經意識到，信息是來自於並用於組織的整個業務流程，而非只存在於各類IT設施中。

    是否已經準備好進行項目所需的各類資源，這些資源包括項目各步驟的規劃和準備、人員的培訓等

    二、制定指導信息分級項目的各類策略，包括：
    信息安全策略（Information Security Policy）,規定了組織對自身全部數據的全部權、數據的保護需求、管理層對信息安全項目的支持等。信息安全策略是一個從整體上而非細節上肯定組織信息安全需求的文檔，組織的全部安全項目都圍繞它來進行。

    數據管理策略（Data Management Policy），規定信息分級是保護信息資產的一個處理流程，並肯定了每個信息分級的定義、安全需求以及各角色對分級信息的責任。

    信息管理策略（Information Management Policy），做爲信息安全策略的補充，信息管理策略規定了如下幾點：

    ①信息是其所屬業務單元的資產；
    ②業務單元的管理者是信息的全部者；
    ③IT設施和部門是信息的持有人；
    ④定義信息分級和全部權之中使用到的各類角色和責任；
    ⑤定義各信息等級和其對應的標準；
    ⑥定義每一個信息等級的最小安全需求範圍。
    其中，第1、第二點是CISSP考試中常考察到的點，信息分級中的各類角色和責任也是CISSP內容中一個重要的內容，好幾個CBK中的知識體系都與它有直接的關係。

    三、風險分析：制定好信息分級項目所需的各類策略和流程以後，項目就能夠進入到下一個階段——風險分析，風險分析須要組織的各個部門的表明組成一個聯合工做小組進行操做，若是資源或其餘緣由不容許，也應該由對組織中最重要的部門的表明組成工做小組。J0ker在此次再次提醒一下，風險分析步驟成功的一個最重要因素依然是來自管理層的支持，CISSP考試中也常常考察這點。

    四、實施信息分級：在信息分級標準肯定和風險分析完成後，項目就進入到信息分級的實施階段。從成本和控制難度的角度來講，一個組織對其信息使用太多的信息等級是不明智的，這樣除了會增長部署、管理成本和控制的難度外，也會由於分級太多而致使人員責任不清、效率低下等弊端，因此能夠採用適當數量的信息等級並給每一個等級賦予簡單易記的名字。

     Official Guide中提供的信息分級示例可供參考，在一個公司裏面，信息能夠根據業務和風險分爲3個等級：

     Public，可公開的信息；
     Internal Use Only，僅限公司內部使用的各類信息（但不保密）；
     Company Confidential，公司機密文檔。
    

      此外，在複習信息分級這個部分時，還有角色及責任的定義這個知識點也須要着重複習一下，信息分級中的角色能夠根據組織的具體狀況來定義，最多見的有：
    (1)、Information Owner，組織中信息所屬部門的經理或管理者
    (2)、Information Custodian，一般是IT部門，負責進行信息的平常維護
    (3)、Application Owner，組織中擁有某個處理信息的應用程序的部門的經理或管理者
    (4)、User Manager，組織中對用戶和員工進行管理的部門或人，HR部門即是一個例子
    (5)、Security Administrator，負責管理組織中人員的系統賬戶等使用狀況的人員，一般是組織中的網管
    (6)、Security Analyst，負責制定組織的各類級別的信息安全計劃、各類安全文檔等，一般是CIO、CISO、CSO之類的人物
    (7)、Data Analyst，負責根據組織業務進行數據結構或類型的設計、維護等操做的人員
    (8)、Solution Provider和DataAnalyst協做，提供數據處理方案的人員
    (9)、End User，最終用戶
     關於各角色及其責任的定義能夠在CISSP  Official   Guide中找到更詳細的解釋。根據J0ker的複習經驗，角色一、二、四、5的定義和責任在CBK複習時是須要着重看一下。

 

下篇預告：《Information Security Management(4)》，J0ker將向你們介紹Policy/Standard/Guideline/Procedure等安全文檔及部署流程，還將給你們總結一下本CBK，敬請期待！