内容摘要:本文J0ker将向大家介绍的Information Classification(信息分级),便是这样一个帮助组织更有效的进行安全项目的重要工具。
一个标准信息分级项目的流程有:
1、初始准备,Official Guide里面把这个阶段概括为”Question to ask“,并提供了若干问题,信息分级项目的主管应保证这个阶段的问题都得到满意解答才继续项目。这些问题分别是:
管理层是否支持这个信息分级项目,不管信息分级项目还是其他更大的安全项目,管理层对项目的支持是项目成功的首要因素,CISSP CBK一直贯彻这个观点,也反映在CISSP考试的试卷上;
要保护的信息对象和风险因素是什么,这可以通过接下去的风险分析步骤来得到解答;
是否有法律法规上的要求,信息分级项目主管在实施项目时要优先考虑法律法规方面的因素;
组织的信息是否为整个业务流程所拥有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,这个问题问的应该是组织是否已经意识到,信息是来自于并用于组织的整个业务流程,而非只存在于各种IT设施中。
是否已经准备好进行项目所需的各种资源,这些资源包括项目各步骤的规划和准备、人员的培训等
2、制定指导信息分级项目的各种策略,包括:
信息安全策略(Information Security Policy),规定了组织对自身所有数据的所有权、数据的保护需求、管理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信息安全需求的文档,组织的所有安全项目都围绕它来进行。
数据管理策略(Data Management Policy),规定信息分级是保护信息资产的一个处理流程,并确定了每一个信息分级的定义、安全需求以及各角色对分级信息的责任。
信息管理策略(Information Management Policy),作为信息安全策略的补充,信息管理策略规定了以下几点:
来源:51CTO.com 作者:梁林 责编:豆豆技术应用