J0ker的CISSP之路：複習-Information Security Management（3）

    在《J0ker的CISSP之路》的上一個文章裡，J0ker給大家簡單介紹了風險分析和評估的一些要點。我們都知道，如果同時做多個事情，就需要按照事情的輕重緩急來安排好執行的順序和投入，實施資訊安全項目時也必須如此，需要根據所要保護的資訊資産的價值，來部署不同的安全方案，進行費效比評估，本文J0ker将向大家介紹的Information Classification（資訊分級），便是這樣一個幫助組織更有效的進行安全項目的重要工具。

什麼是資訊分級？

      資訊分級是組織根據資訊的業務風險（Business Risk）、資料本身價值和其他的标準，對資訊進行等級的劃分。組織可以通過資訊分級，發現影響影響組織業務的最顯著因素，并根據資訊等級對資訊實施不同的保護、備份恢複等方案。資訊分級的目的在于降低組織保護自身所有資訊的成本，同時，資訊分級對關鍵資訊的辨別，也可以增強組織的決策能力。

組織實施資訊分級有什麼好處？

     資訊分級應該在組織級的層次上進行實施，如果在部門級别或更低的層次上進行實施，則展現不出它的優勢。組織實施資訊分級的好處有：

    1、組織範圍的所有資料因為實施了正确的保護措施而提高了保密性、完整性和可用性

     2、組織可以盡可能有效的利用資訊保護的預算，因為組織可以根據資訊等級設計和部署最合适的保護方案

    3、組織的決策能力和準确性得以通過資訊分級來增強

此外，組織還能通過資訊分級的處理過程，重新整理自身的業務流程和資訊處理需求。

資訊分級的一般流程

各個組織因為自身的情況不同，資訊分級項目的流程都各不相同。CISSP Official Guide中提供了一個比較有效通用的流程，J0ker将要把它列在下面，并簡單說一下CISSP考試中常見的題型和考察的重點，同時，這些知識點也是一個CISSP應該精通的内容。

一個标準資訊分級項目的流程有：

     1、初始準備，Official Guide裡面把這個階段概括為”Question to ask“，并提供了若幹問題，資訊分級項目的主管應保證這個階段的問題都得到滿意解答才繼續項目。這些問題分别是：

     管理層是否支援這個資訊分級項目，不管資訊分級項目還是其他更大的安全項目，管理層對項目的支援是項目成功的首要因素，CISSP CBK一直貫徹這個觀點，也反映在CISSP考試的試卷上；

    要保護的資訊對象和風險因素是什麼，這可以通過接下去的風險分析步驟來得到解答；

是否有法律法規上的要求，資訊分級項目主管在實施項目時要優先考慮法律法規方面的因素；

    組織的資訊是否為整個業務流程所擁有(Has the business accepted owner shipre sponsibility for the data)，按J0ker的了解，這個問題問的應該是組織是否已經意識到，資訊是來自于并用于組織的整個業務流程，而非隻存在于各種IT設施中。

    是否已經準備好進行項目所需的各種資源，這些資源包括項目各步驟的規劃和準備、人員的教育訓練等

    2、制定指導資訊分級項目的各種政策，包括：

    資訊安全政策（Information Security Policy）,規定了組織對自身所有資料的所有權、資料的保護需求、管理層對資訊安全項目的支援等。資訊安全政策是一個從總體上而非細節上确定組織資訊安全需求的文檔，組織的所有安全項目都圍繞它來進行。

    資料管理政策（Data Management Policy），規定資訊分級是保護資訊資産的一個處理流程，并确定了每一個資訊分級的定義、安全需求以及各角色對分級資訊的責任。

    資訊管理政策（Information Management Policy），作為資訊安全政策的補充，資訊管理政策規定了以下幾點：

    ①資訊是其所屬業務單元的資産；

    ②業務單元的管理者是資訊的所有者；

    ③IT設施和部門是資訊的持有人；

    ④定義資訊分級和所有權之中使用到的各種角色和責任；

    ⑤定義各資訊等級和其對應的标準；

    ⑥定義每個資訊等級的最小安全需求範圍。

    其中，第一、第二點是CISSP考試中常考察到的點，資訊分級中的各種角色和責任也是CISSP内容中一個重要的内容，好幾個CBK中的知識體系都與它有直接的關系。

    3、風險分析：制定好資訊分級項目所需的各種政策和流程之後，項目就可以進入到下一個階段——風險分析，風險分析需要組織的各個部門的代表組成一個聯合工作小組進行操作，如果資源或其他原因不允許，也應該由對組織中最重要的部門的代表組成工作小組。J0ker在這次再次提醒一下，風險分析步驟成功的一個最重要因素依然是來自管理層的支援，CISSP考試中也經常考察這點。

    4、實施資訊分級：在資訊分級标準确定和風險分析完成後，項目就進入到資訊分級的實施階段。從成本和控制難度的角度來說，一個組織對其資訊使用太多的資訊等級是不明智的，這樣除了會增加部署、管理成本和控制的難度外，也會因為分級太多而導緻人員責任不清、效率低下等弊端，是以可以采用适當數量的資訊等級并給每個等級賦予簡單易記的名字。

     Official Guide中提供的資訊分級示例可供參考，在一個公司裡面，資訊可以根據業務和風險分為3個等級：

     Public，可公開的資訊；

     Internal Use Only，僅限公司内部使用的各種資訊（但不保密）；

     Company Confidential，公司機密文檔。

      此外，在複習資訊分級這個部分時，還有角色及責任的定義這個知識點也需要着重複習一下，資訊分級中的角色可以根據組織的具體情況來定義，最常見的有：

    (1)、Information Owner，組織中資訊所屬部門的經理或管理者

    (2)、Information Custodian，通常是IT部門，負責進行資訊的日常維護

    (3)、Application Owner，組織中擁有某個處理資訊的應用程式的部門的經理或管理者

    (4)、User Manager，組織中對使用者和員工進行管理的部門或人，HR部門便是一個例子

    (5)、Security Administrator，負責管理組織中人員的系統帳戶等使用情況的人員，通常是組織中的網管

    (6)、Security Analyst，負責制定組織的各種級别的資訊安全計劃、各種安全文檔等，通常是CIO、CISO、CSO之類的人物

    (7)、Data Analyst，負責根據組織業務進行資料結構或類型的設計、維護等操作的人員

    (8)、Solution Provider和DataAnalyst協作，提供資料處理方案的人員

    (9)、End User，最終使用者

     關于各角色及其責任的定義可以在CISSP  Official   Guide中找到更詳細的解釋。根據J0ker的複習經驗，角色1、2、4、5的定義和責任在CBK複習時是需要着重看一下。

下篇預告：《Information Security Management(4)》，J0ker将向大家介紹Policy/Standard/Guideline/Procedure等安全文檔及部署流程，還将給大家總結一下本CBK，敬請期待！

本文轉自J0ker51CTO部落格，原文連結：http://blog.51cto.com/J0ker/45408，如需轉載請自行聯系原作者