在《J0ker的CISSP之路》系列的上一篇文章裡,J0ker給大家介紹了Information Classification的相關内容,作為使組織的安全計劃得以更有效進行的工具,Information Classification在安全計劃制定前期有不可替代的重要作用。完成風險分析和資訊分級之後,安全計劃的下一步需要做什麼?這便是本文将要介紹的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文檔的準備工作。
一個資訊安全計劃的最終目标,就是要保護目标組織資訊資産的完整性、保密性和可用性,而各種針對資訊資産的威脅,諸如非授權通路、篡改、毀壞和洩漏等,卻常常會破壞組織的資訊資産。這樣的狀況就要求組織把資訊安全計劃納入整個組織的資産保護計劃中去,此外,資訊安全技術并不能完全徹底的保護資訊資産免受各種威脅的損害,對組織而言,更多的保護工作應該或隻能通過管理上的手段來達到目的。是以,要成功實施一個安全計劃,就必須確定組織中的每一個人都了解和支援安全計劃,這時,就需要使用安全政策(policy)、安全标準(standard)、安全底線(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段來幫助每一個組織成員了解安全計劃,并規範組織成員的行為。
作為安全計劃的負責人,組織的資訊安全主管通常要負責制定和部署組織的安全政策、标準、指引和安全流程,而他常常會從IT部門中抽調人手進行這些安全文檔的制定工作。IT技術背景有時能對資訊安全主管了解安全計劃的技術方面提供幫助,但過多的技術人員組成卻會對安全主管了解組織的業務目标和戰略造成困難。安全主管在安全文檔的制定過程中,也常常會從各種資料或咨詢企業中尋求幫助,但從這些途徑中所收集到的資訊往往隻能作為“怎麼做”的參考,而不能回答“為什麼要這樣做”。是以安全文檔的制定和執行還需要安全主管如同進行風險分析和資訊分級 項目那樣,彙集來自組織各個部門的負責人員一起進行。
另外,組織的運作常常還有法律法規方面的要求,這也需要反映到安全政策和流程中去,而法律法規規定了在組織的運作中,誰應該對什麼負責和應該怎麼做去滿足組織的運作要求,這又引入了CISSP CBK中的另外幾個重要概念:Duty of loyalty、Due Care和Due Diligence。
Duty of loyalty主要是道德及法律上的要求,要求組織成員不應該利用自己所處地位及自己的優勢去獲得好處; Due Care是要求組織的管理層應該誠實、審慎、對自己及組織負責;而Due Diligence則是要求組織的管理層必須要做的若幹使組織符合法律法規、一緻性、安全或程式上要求的事情,ISM CBK提供了Due Diligence的七個要點。根據J0ker的了解,Due Care主要是主觀上需要,而Due Diligence則是客觀上需要的。CISSP考試常常會考察Due Care 和Due Diligence的概念,或利用一個例子來讓考生判斷是Due Care還是Due Diligence或其他什麼概念,在複習時應該多留意一下這幾個概念的具體内容和差別。
說完了安全文檔對安全計劃的意義及相關的内容,我們重新把注意力集中回這些文檔本身上,先來看一下各文檔的定義:
Policy:一個組織級的資訊安全政策包含了組織管理層對一個安全項目的目标、評價、責任等屬性的指導,還定義了一個組織對資訊安全的了解。資訊安全政策是簡短的,并不來自于技術或解決方案的,并為進一步的基于技術或解決方案的Standard(安全标準)等提供管理層的授權。另外如果組織規模較大,還會制定和部署部門級的安全政策文檔,它群組織級的安全政策相類似,但也針對部門的職能進行了進一步的描述和規定。在Official Guide中有關于Policy的示例,有需要的朋友可以參考一下。
Standard:安全标準是支援安全政策實施,并通過規定具體的标準和實施的方向來支援使安全政策能更為有效執行的文檔,它規定了強制性的活動、行為、規則和制度等,通常會規定具體的技術手段、産品或解決方案等,并在組織内部整體實施。
Baseline:安全底線和安全标準相類似,也是通過強制性的手段和規定來支援安全政策實施的文檔,但安全底線和安全标準不同的地方在于,安全标準更偏重于宏觀上要達到或者要實作什麼目的,而安全底線則是根據同一類型資訊資産中不同子類型的特點分别制定的強制規則,如組織用戶端使用的作業系統包括Windows 2000、Windows XP和Windows 2003,要求所有的用戶端系統都按照某個廠商某一個版本的反病毒軟體,就是安全标準;而Windows 2000/XP/2003分别進行什麼安全配置,則是安全底線。
Guideline:安全指導是非強制性的,帶有建議性質的安全文檔,它通過建議組織及其成員,進行建議的行為或活動,來獲得更高的安全級别,或對資訊安全有更深入了解。
Procedure:安全流程是通過給組織及其成員提供在操作環境中切實可行并具體的每步操作流程和标準,以達到安全政策、安全标準和安全底線等文檔規定要求的文檔。
在CISSP Official Guide中,還對每一個安全文檔都舉出了簡單的例子,并對它們進行了比較,建議有時間的朋友分别閱讀一下,并仔細對比它們之間的聯系和差别。J0ker做了一個圖,簡單的歸納了這些安全文檔的聯系,圖如下:
<a href="http://netsecurity.51cto.com/files/uploadimg/20071015/114220485.gif" target="_blank"></a>
圖1
安全政策、标準、底線、指導和安全流程是確定組織中的每一個成員都了解和遵守組織的安全計劃,并完成制定的工作任務的關鍵元素。CISSP考試中通常會出與這些文檔的定義有關的題目,朋友們在複習中可以多留意下這些知識點之間的聯系和差別,并通過複習材料中的例子來記憶每一種文檔的寫法。
下篇預告:《Information Security Management(終)》,J0ker将介紹資訊安全意識教育及部署方式這一資訊安全管理的最後内容,并總結資訊安全管理CBK所涉及到的知識點,敬請關注!
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/46202,如需轉載請自行聯系原作者
![Windows指令行打開方式Windows指令行打開方式[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)