上一篇文章《復(fù)習(xí)信息安全治理（2）》里，J0ker給大家簡(jiǎn)單介紹了風(fēng)險(xiǎn)分析和評(píng)估的一些要點(diǎn)。我們都知道，假如同時(shí)做多個(gè)事情，就需要按照事情的輕重緩急來(lái)安排好執(zhí)行的順序和投入，實(shí)施信息安全項(xiàng)目時(shí)也必須如此，需要根據(jù)所要保護(hù)的信息資產(chǎn)的價(jià)值，來(lái)部署不同的安全方案，進(jìn)行費(fèi)效比評(píng)估，本文J0ker將向大家介紹的Information Classification（信息分級(jí)），便是這樣一個(gè)幫助組織更有效的進(jìn)行安全項(xiàng)目的重要工具。

什么是信息分級(jí)？
信息分級(jí)是組織根據(jù)信息的業(yè)務(wù)風(fēng)險(xiǎn)（Business Risk）、數(shù)據(jù)本身價(jià)值和其他的標(biāo)準(zhǔn)，對(duì)信息進(jìn)行等級(jí)的劃分。組織可以通過(guò)信息分級(jí)，發(fā)現(xiàn)影響影響組織業(yè)務(wù)的最顯著因素，并根據(jù)信息等級(jí)對(duì)信息實(shí)施不同的保護(hù)、備份恢復(fù)等方案。信息分級(jí)的目的在于降低組織保護(hù)自身所有信息的成本，同時(shí)，信息分級(jí)對(duì)要害信息的標(biāo)識(shí)，也可以增強(qiáng)組織的決策能力。

組織實(shí)施信息分級(jí)有什么好處？
信息分級(jí)應(yīng)該在組織級(jí)的層次上進(jìn)行實(shí)施，假如在部門(mén)級(jí)別或更低的層次上進(jìn)行實(shí)施，則體現(xiàn)不出它的優(yōu)勢(shì)。組織實(shí)施信息分級(jí)的好處有：

1、組織范圍的所有數(shù)據(jù)因?yàn)閷?shí)施了正確的保護(hù)措施而提高了保密性、完整性和可用性
2、組織可以盡可能有效的利用信息保護(hù)的預(yù)算，因?yàn)榻M織可以根據(jù)信息等級(jí)設(shè)計(jì)和部署最合適的保護(hù)方案
3、組織的決策能力和準(zhǔn)確性得以通過(guò)信息分級(jí)來(lái)增強(qiáng)

此外，組織還能通過(guò)信息分級(jí)的處理過(guò)程，重新整理自身的業(yè)務(wù)流程和信息處理需求。

信息分級(jí)的一般流程
各個(gè)組織因?yàn)樽陨淼那闆r不同，信息分級(jí)項(xiàng)目的流程都各不相同。CISSP Official Guide中提供了一個(gè)比較有效通用的流程，J0ker將要把它列在下面，并簡(jiǎn)單說(shuō)一下CISSP考試中常見(jiàn)的題型和考察的重點(diǎn)，同時(shí)，這些知識(shí)點(diǎn)也是一個(gè)CISSP應(yīng)該精通的內(nèi)容。

一個(gè)標(biāo)準(zhǔn)信息分級(jí)項(xiàng)目的流程有：
1、初始預(yù)備，Official Guide里面把這個(gè)階段概括為”Question to ask“，并提供了若干問(wèn)題，信息分級(jí)項(xiàng)目的主管應(yīng)保證這個(gè)階段的問(wèn)題都得到滿(mǎn)足解答才繼續(xù)項(xiàng)目。這些問(wèn)題分別是：

治理層是否支持這個(gè)信息分級(jí)項(xiàng)目，不管信息分級(jí)項(xiàng)目還是其他更大的安全項(xiàng)目，治理層對(duì)項(xiàng)目的支持是項(xiàng)目成功的首要因素，CISSP CBK一直貫徹這個(gè)觀(guān)點(diǎn)，也反映在CISSP考試的試卷上；
要保護(hù)的信息對(duì)象和風(fēng)險(xiǎn)因素是什么，這可以通過(guò)接下去的風(fēng)險(xiǎn)分析步驟來(lái)得到解答；
是否有法律法規(guī)上的要求，信息分級(jí)項(xiàng)目主管在實(shí)施項(xiàng)目時(shí)要優(yōu)先考慮法律法規(guī)方面的因素；
組織的信息是否為整個(gè)業(yè)務(wù)流程所擁有(Has the business accepted owner shipre sponsibility for the data)，按J0ker的理解，這個(gè)問(wèn)題問(wèn)的應(yīng)該是組織是否已經(jīng)意識(shí)到，信息是來(lái)自于并用于組織的整個(gè)業(yè)務(wù)流程，而非只存在于各種IT設(shè)施中。

是否已經(jīng)預(yù)備好進(jìn)行項(xiàng)目所需的各種資源，這些資源包括項(xiàng)目各步驟的規(guī)劃和預(yù)備、人員的培訓(xùn)等

2、制定指導(dǎo)信息分級(jí)項(xiàng)目的各種策略，包括：
信息安全策略（Information Security Policy）,規(guī)定了組織對(duì)自身所有數(shù)據(jù)的所有權(quán)、數(shù)據(jù)的保護(hù)需求、治理層對(duì)信息安全項(xiàng)目的支持等。信息安全策略是一個(gè)從總體上而非細(xì)節(jié)上確定組織信息安全需求的文檔，組織的所有安全項(xiàng)目都圍繞它來(lái)進(jìn)行。

數(shù)據(jù)治理策略（Data Management Policy），規(guī)定信息分級(jí)是保護(hù)信息資產(chǎn)的一個(gè)處理流程，并確定了每一個(gè)信息分級(jí)的定義、安全需求以及各角色對(duì)分級(jí)信息的責(zé)任。

信息治理策略（Information Management Policy），作為信息安全策略的補(bǔ)充，信息治理策略規(guī)定了以下幾點(diǎn)：

①信息是其所屬業(yè)務(wù)單元的資產(chǎn)；
②業(yè)務(wù)單元的治理者是信息的所有者；
③IT設(shè)施和部門(mén)是信息的持有人；
④定義信息分級(jí)和所有權(quán)之中使用到的各種角色和責(zé)任；
⑤定義各信息等級(jí)和其對(duì)應(yīng)的標(biāo)準(zhǔn)；
⑥定義每個(gè)信息等級(jí)的最小安全需求范圍。
其中，第一、第二點(diǎn)是CISSP考試中常考察到的點(diǎn)，信息分級(jí)中的各種角色和責(zé)任也是CISSP內(nèi)容中一個(gè)重要的內(nèi)容，好幾個(gè)CBK中的知識(shí)體系都與它有直接的關(guān)系。

3、風(fēng)險(xiǎn)分析：制定好信息分級(jí)項(xiàng)目所需的各種策略和流程之后，項(xiàng)目就可以進(jìn)入到下一個(gè)階段——風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)分析需要組織的各個(gè)部門(mén)的代表組成一個(gè)聯(lián)合工作小組進(jìn)行操作，假如資源或其他原因不答應(yīng)，也應(yīng)該由對(duì)組織中最重要的部門(mén)的代表組成工作小組。J0ker在這次再次提醒一下，風(fēng)險(xiǎn)分析步驟成功的一個(gè)最重要因素依然是來(lái)自治理層的支持，CISSP考試中也經(jīng)常考察這點(diǎn)。

4、實(shí)施信息分級(jí)：在信息分級(jí)標(biāo)準(zhǔn)確定和風(fēng)險(xiǎn)分析完成后，項(xiàng)目就進(jìn)入到信息分級(jí)的實(shí)施階段。從成本和控制難度的角度來(lái)說(shuō)，一個(gè)組織對(duì)其信息使用太多的信息等級(jí)是不明智的，這樣除了會(huì)增加部署、治理成本和控制的難度外，也會(huì)因?yàn)榉旨?jí)太多而導(dǎo)致人員責(zé)任不清、效率低下等弊端，所以可以采用適當(dāng)數(shù)量的信息等級(jí)并給每個(gè)等級(jí)賦予簡(jiǎn)單易記的名字。
Official Guide中提供的信息分級(jí)示例可供參考，在一個(gè)公司里面，信息可以根據(jù)業(yè)務(wù)和風(fēng)險(xiǎn)分為3個(gè)等級(jí)：Public，可公開(kāi)的信息；
Internal Use Only，僅限公司內(nèi)部使用的各種信息（但不保密）；
Company Confidential，公司機(jī)密文檔。
此外，在復(fù)習(xí)信息分級(jí)這個(gè)部分時(shí)，還有角色及責(zé)任的定義這個(gè)知識(shí)點(diǎn)也需要著重復(fù)習(xí)一下，信息分級(jí)中的角色可以根據(jù)組織的具體情況來(lái)定義，最常見(jiàn)的有：
(1)、Information Owner，組織中信息所屬部門(mén)的經(jīng)理或治理者
(2)、Information Custodian，通常是IT部門(mén)，負(fù)責(zé)進(jìn)行信息的日常維護(hù)
(3)、Application Owner，組織中擁有某個(gè)處理信息的應(yīng)用程序的部門(mén)的經(jīng)理或治理者
(4)、User Manager，組織中對(duì)用戶(hù)和員工進(jìn)行治理的部門(mén)或人，HR部門(mén)便是一個(gè)例子
(5)、Security Administrator，負(fù)責(zé)治理組織中人員的系統(tǒng)帳戶(hù)等使用情況的人員，通常是組織中的網(wǎng)管
(6)、Security Analyst，負(fù)責(zé)制定組織的各種級(jí)別的信息安全計(jì)劃、各種安全文檔等，通常是CIO、CISO、CSO之類(lèi)的人物
(7)、Data Analyst，負(fù)責(zé)根據(jù)組織業(yè)務(wù)進(jìn)行數(shù)據(jù)結(jié)構(gòu)或類(lèi)型的設(shè)計(jì)、維護(hù)等操作的人員

(8)、Solution Provider和DataAnalyst協(xié)作，提供數(shù)據(jù)處理方案的人員
(9)、End User，最終用戶(hù)
關(guān)于各角色及其責(zé)任的定義可以在CISSPOfficialGuide中找到更具體的解釋。根據(jù)J0ker的復(fù)習(xí)經(jīng)驗(yàn)，角色1、2、4、5的定義和責(zé)任在CBK復(fù)習(xí)時(shí)是需要著重看一下。

轉(zhuǎn)載于:https://www.cnblogs.com/China-Dragon/archive/2009/03/22/1419299.html

總結(jié)

以上是生活随笔為你收集整理的CISSP的成长之路（九）：复习信息安全管理(3)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。