CISSP的成长之路(九):复习信息安全管理(3)
什么是信息分級?
信息分級是組織根據信息的業務風險(Business Risk)、數據本身價值和其他的標準,對信息進行等級的劃分。組織可以通過信息分級,發現影響影響組織業務的最顯著因素,并根據信息等級對信息實施不同的保護、備份恢復等方案。信息分級的目的在于降低組織保護自身所有信息的成本,同時,信息分級對要害信息的標識,也可以增強組織的決策能力。
組織實施信息分級有什么好處?
信息分級應該在組織級的層次上進行實施,假如在部門級別或更低的層次上進行實施,則體現不出它的優勢。組織實施信息分級的好處有:
1、組織范圍的所有數據因為實施了正確的保護措施而提高了保密性、完整性和可用性
2、組織可以盡可能有效的利用信息保護的預算,因為組織可以根據信息等級設計和部署最合適的保護方案
3、組織的決策能力和準確性得以通過信息分級來增強
此外,組織還能通過信息分級的處理過程,重新整理自身的業務流程和信息處理需求。
信息分級的一般流程
各個組織因為自身的情況不同,信息分級項目的流程都各不相同。CISSP Official Guide中提供了一個比較有效通用的流程,J0ker將要把它列在下面,并簡單說一下CISSP考試中常見的題型和考察的重點,同時,這些知識點也是一個CISSP應該精通的內容。
一個標準信息分級項目的流程有:
1、初始預備,Official Guide里面把這個階段概括為”Question to ask“,并提供了若干問題,信息分級項目的主管應保證這個階段的問題都得到滿足解答才繼續項目。這些問題分別是:
治理層是否支持這個信息分級項目,不管信息分級項目還是其他更大的安全項目,治理層對項目的支持是項目成功的首要因素,CISSP CBK一直貫徹這個觀點,也反映在CISSP考試的試卷上;
要保護的信息對象和風險因素是什么,這可以通過接下去的風險分析步驟來得到解答;
是否有法律法規上的要求,信息分級項目主管在實施項目時要優先考慮法律法規方面的因素;
組織的信息是否為整個業務流程所擁有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,這個問題問的應該是組織是否已經意識到,信息是來自于并用于組織的整個業務流程,而非只存在于各種IT設施中。
是否已經預備好進行項目所需的各種資源,這些資源包括項目各步驟的規劃和預備、人員的培訓等
2、制定指導信息分級項目的各種策略,包括:
信息安全策略(Information Security Policy),規定了組織對自身所有數據的所有權、數據的保護需求、治理層對信息安全項目的支持等。信息安全策略是一個從總體上而非細節上確定組織信息安全需求的文檔,組織的所有安全項目都圍繞它來進行。
數據治理策略(Data Management Policy),規定信息分級是保護信息資產的一個處理流程,并確定了每一個信息分級的定義、安全需求以及各角色對分級信息的責任。
信息治理策略(Information Management Policy),作為信息安全策略的補充,信息治理策略規定了以下幾點:
①信息是其所屬業務單元的資產;
②業務單元的治理者是信息的所有者;
③IT設施和部門是信息的持有人;
④定義信息分級和所有權之中使用到的各種角色和責任;
⑤定義各信息等級和其對應的標準;
⑥定義每個信息等級的最小安全需求范圍。
其中,第一、第二點是CISSP考試中常考察到的點,信息分級中的各種角色和責任也是CISSP內容中一個重要的內容,好幾個CBK中的知識體系都與它有直接的關系。
3、風險分析:制定好信息分級項目所需的各種策略和流程之后,項目就可以進入到下一個階段——風險分析,風險分析需要組織的各個部門的代表組成一個聯合工作小組進行操作,假如資源或其他原因不答應,也應該由對組織中最重要的部門的代表組成工作小組。J0ker在這次再次提醒一下,風險分析步驟成功的一個最重要因素依然是來自治理層的支持,CISSP考試中也經常考察這點。
4、實施信息分級:在信息分級標準確定和風險分析完成后,項目就進入到信息分級的實施階段。從成本和控制難度的角度來說,一個組織對其信息使用太多的信息等級是不明智的,這樣除了會增加部署、治理成本和控制的難度外,也會因為分級太多而導致人員責任不清、效率低下等弊端,所以可以采用適當數量的信息等級并給每個等級賦予簡單易記的名字。
Official Guide中提供的信息分級示例可供參考,在一個公司里面,信息可以根據業務和風險分為3個等級:Public,可公開的信息;
Internal Use Only,僅限公司內部使用的各種信息(但不保密);
Company Confidential,公司機密文檔。
此外,在復習信息分級這個部分時,還有角色及責任的定義這個知識點也需要著重復習一下,信息分級中的角色可以根據組織的具體情況來定義,最常見的有:
(1)、Information Owner,組織中信息所屬部門的經理或治理者
(2)、Information Custodian,通常是IT部門,負責進行信息的日常維護
(3)、Application Owner,組織中擁有某個處理信息的應用程序的部門的經理或治理者
(4)、User Manager,組織中對用戶和員工進行治理的部門或人,HR部門便是一個例子
(5)、Security Administrator,負責治理組織中人員的系統帳戶等使用情況的人員,通常是組織中的網管
(6)、Security Analyst,負責制定組織的各種級別的信息安全計劃、各種安全文檔等,通常是CIO、CISO、CSO之類的人物
(7)、Data Analyst,負責根據組織業務進行數據結構或類型的設計、維護等操作的人員
(9)、End User,最終用戶
關于各角色及其責任的定義可以在CISSPOfficialGuide中找到更具體的解釋。根據J0ker的復習經驗,角色1、2、4、5的定義和責任在CBK復習時是需要著重看一下。
轉載于:https://www.cnblogs.com/China-Dragon/archive/2009/03/22/1419299.html
總結
以上是生活随笔為你收集整理的CISSP的成长之路(九):复习信息安全管理(3)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Hibernate- QBC-基本查询
- 下一篇: Refactoring Connecti