网站开发后端做那些,进行网站建设,杭州网站建设网络公司,网站群建设指南上一篇文章《复习信息安全治理#xff08;2#xff09;》里#xff0c;J0ker给大家简单介绍了风险分析和评估的一些要点。我们都知道#xff0c;假如同时做多个事情#xff0c;就需要按照事情的轻重缓急来安排好执行的顺序和投入#xff0c;实施信息安全项目时也必须如此…上一篇文章《复习信息安全治理2》里J0ker给大家简单介绍了风险分析和评估的一些要点。我们都知道假如同时做多个事情就需要按照事情的轻重缓急来安排好执行的顺序和投入实施信息安全项目时也必须如此需要根据所要保护的信息资产的价值来部署不同的安全方案进行费效比评估本文J0ker将向大家介绍的Information Classification信息分级便是这样一个帮助组织更有效的进行安全项目的重要工具。 什么是信息分级 信息分级是组织根据信息的业务风险Business Risk、数据本身价值和其他的标准对信息进行等级的划分。组织可以通过信息分级发现影响影响组织业务的最显著因素并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的成本同时信息分级对要害信息的标识也可以增强组织的决策能力。 组织实施信息分级有什么好处信息分级应该在组织级的层次上进行实施假如在部门级别或更低的层次上进行实施则体现不出它的优势。组织实施信息分级的好处有 1、组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性 2、组织可以尽可能有效的利用信息保护的预算因为组织可以根据信息等级设计和部署最合适的保护方案 3、组织的决策能力和准确性得以通过信息分级来增强 此外组织还能通过信息分级的处理过程重新整理自身的业务流程和信息处理需求。 信息分级的一般流程各个组织因为自身的情况不同信息分级项目的流程都各不相同。CISSP Official Guide中提供了一个比较有效通用的流程J0ker将要把它列在下面并简单说一下CISSP考试中常见的题型和考察的重点同时这些知识点也是一个CISSP应该精通的内容。 一个标准信息分级项目的流程有1、初始预备Official Guide里面把这个阶段概括为”Question to ask“并提供了若干问题信息分级项目的主管应保证这个阶段的问题都得到满足解答才继续项目。这些问题分别是 治理层是否支持这个信息分级项目不管信息分级项目还是其他更大的安全项目治理层对项目的支持是项目成功的首要因素CISSP CBK一直贯彻这个观点也反映在CISSP考试的试卷上 要保护的信息对象和风险因素是什么这可以通过接下去的风险分析步骤来得到解答 是否有法律法规上的要求信息分级项目主管在实施项目时要优先考虑法律法规方面的因素 组织的信息是否为整个业务流程所拥有(Has the business accepted owner shipre sponsibility for the data)按J0ker的理解这个问题问的应该是组织是否已经意识到信息是来自于并用于组织的整个业务流程而非只存在于各种IT设施中。 是否已经预备好进行项目所需的各种资源这些资源包括项目各步骤的规划和预备、人员的培训等 2、制定指导信息分级项目的各种策略包括 信息安全策略Information Security Policy,规定了组织对自身所有数据的所有权、数据的保护需求、治理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信息安全需求的文档组织的所有安全项目都围绕它来进行。 数据治理策略Data Management Policy规定信息分级是保护信息资产的一个处理流程并确定了每一个信息分级的定义、安全需求以及各角色对分级信息的责任。 信息治理策略Information Management Policy作为信息安全策略的补充信息治理策略规定了以下几点 ①信息是其所属业务单元的资产 ②业务单元的治理者是信息的所有者 ③IT设施和部门是信息的持有人 ④定义信息分级和所有权之中使用到的各种角色和责任 ⑤定义各信息等级和其对应的标准 ⑥定义每个信息等级的最小安全需求范围。 其中第一、第二点是CISSP考试中常考察到的点信息分级中的各种角色和责任也是CISSP内容中一个重要的内容好几个CBK中的知识体系都与它有直接的关系。 3、风险分析制定好信息分级项目所需的各种策略和流程之后项目就可以进入到下一个阶段——风险分析风险分析需要组织的各个部门的代表组成一个联合工作小组进行操作假如资源或其他原因不答应也应该由对组织中最重要的部门的代表组成工作小组。J0ker在这次再次提醒一下风险分析步骤成功的一个最重要因素依然是来自治理层的支持CISSP考试中也经常考察这点。 4、实施信息分级在信息分级标准确定和风险分析完成后项目就进入到信息分级的实施阶段。从成本和控制难度的角度来说一个组织对其信息使用太多的信息等级是不明智的这样除了会增加部署、治理成本和控制的难度外也会因为分级太多而导致人员责任不清、效率低下等弊端所以可以采用适当数量的信息等级并给每个等级赋予简单易记的名字。 Official Guide中提供的信息分级示例可供参考在一个公司里面信息可以根据业务和风险分为3个等级Public可公开的信息 Internal Use Only仅限公司内部使用的各种信息但不保密 Company Confidential公司机密文档。 此外在复习信息分级这个部分时还有角色及责任的定义这个知识点也需要着重复习一下信息分级中的角色可以根据组织的具体情况来定义最常见的有 (1)、Information Owner组织中信息所属部门的经理或治理者 (2)、Information Custodian通常是IT部门负责进行信息的日常维护 (3)、Application Owner组织中拥有某个处理信息的应用程序的部门的经理或治理者 (4)、User Manager组织中对用户和员工进行治理的部门或人HR部门便是一个例子 (5)、Security Administrator负责治理组织中人员的系统帐户等使用情况的人员通常是组织中的网管 (6)、Security Analyst负责制定组织的各种级别的信息安全计划、各种安全文档等通常是CIO、CISO、CSO之类的人物 (7)、Data Analyst负责根据组织业务进行数据结构或类型的设计、维护等操作的人员 (8)、Solution Provider和DataAnalyst协作提供数据处理方案的人员 (9)、End User最终用户 关于各角色及其责任的定义可以在CISSPOfficialGuide中找到更具体的解释。根据J0ker的复习经验角色1、2、4、5的定义和责任在CBK复习时是需要着重看一下。 转载于:https://www.cnblogs.com/China-Dragon/archive/2009/03/22/1419299.html
