CISSP的成长之路（九）：复习信息安全管理(3)

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习信息安全管理（2）》里，J0ker给大家简单介绍了风险分析和评估的一些要点。我们都知道，如果同时做多个事情，就需要按照事情的轻重缓急来安排好执行的顺序和投入，实施信息安全项目时也必须如此，需要根据所要保护的信息资产的价值，来部署不同的安全方案，进行费效比评估，本文J0ker将向大家介绍的Information Classification（信息分级），便是这样一个帮助组织更有效的进行安全项目的重要工具。

　　什么是信息分级？

　　信息分级是组织根据信息的业务风险（Business Risk）、数据本身价值和其他的标准，对信息进行等级的划分。组织可以通过信息分级，发现影响影响组织业务的最显著因素，并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的成本，同时，信息分级对关键信息的标识，也可以增强组织的决策能力。

　　组织实施信息分级有什么好处？

　　信息分级应该在组织级的层次上进行实施，如果在部门级别或更低的层次上进行实施，则体现不出它的优势。组织实施信息分级的好处有：

　　1、组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性

　　2、组织可以尽可能有效的利用信息保护的预算，因为组织可以根据信息等级设计和部署最合适的保护方案

　　3、组织的决策能力和准确性得以通过信息分级来增强

　　此外，组织还能通过信息分级的处理过程，重新整理自身的业务流程和信息处理需求。

　　信息分级的一般流程

　　各个组织因为自身的情况不同，信息分级项目的流程都各不相同。CISSP Official Guide中提供了一个比较有效通用的流程，J0ker将要把它列在下面，并简单说一下CISSP考试中常见的题型和考察的重点，同时，这些知识点也是一个CISSP应该精通的内容。