内容摘要:本文J0ker将向大家介绍的Information Classification(信息分级),便是这样一个帮助组织更有效的进行安全项目的重要工具。
①信息是其所属业务单元的资产;
②业务单元的管理者是信息的所有者;
③IT设施和部门是信息的持有人;
④定义信息分级和所有权之中使用到的各种角色和责任;
⑤定义各信息等级和其对应的标准;
⑥定义每个信息等级的最小安全需求范围。
其中,第一、第二点是CISSP考试中常考察到的点,信息分级中的各种角色和责任也是CISSP内容中一个重要的内容,好几个CBK中的知识体系都与它有直接的关系。
3、风险分析:制定好信息分级项目所需的各种策略和流程之后,项目就可以进入到下一个阶段——风险分析,风险分析需要组织的各个部门的代表组成一个联合工作小组进行操作,如果资源或其他原因不允许,也应该由对组织中最重要的部门的代表组成工作小组。J0ker在这次再次提醒一下,风险分析步骤成功的一个最重要因素依然是来自管理层的支持,CISSP考试中也经常考察这点。
4、实施信息分级:在信息分级标准确定和风险分析完成后,项目就进入到信息分级的实施阶段。从成本和控制难度的角度来说,一个组织对其信息使用太多的信息等级是不明智的,这样除了会增加部署、管理成本和控制的难度外,也会因为分级太多而导致人员责任不清、效率低下等弊端,所以可以采用适当数量的信息等级并给每个等级赋予简单易记的名字。
Official Guide中提供的信息分级示例可供参考,在一个公司里面,信息可以根据业务和风险分为3个等级:Public,可公开的信息;
Internal Use Only,仅限公司内部使用的各种信息(但不保密);
Company Confidential,公司机密文档。
此外,在复习信息分级这个部分时,还有角色及责任的定义这个知识点也需要着重复习一下,信息分级中的角色可以根据组织的具体情况来定义,最常见的有:
(1)、Information Owner,组织中信息所属部门的经理或管理者
(2)、Information Custodian,通常是IT部门,负责进行信息的日常维护
(3)、Application Owner,组织中拥有某个处理信息的应用程序的部门的经理或管理者
(4)、User Manager,组织中对用户和员工进行管理的部门或人,HR部门便是一个例子
(5)、Security Administrator,负责管理组织中人员的系统帐户等使用情况的人员,通常是组织中的网管
(6)、Security Analyst,负责制定组织的各种级别的信息安全计划、各种安全文档等,通常是CIO、CISO、CSO之类的人物
(7)、Data Analyst,负责根据组织业务进行数据结构或类型的设计、维护等操作的人员
(8)、Solution Provider和DataAnalyst协作,提供数据处理方案的人员
(9)、End User,最终用户
关于各角色及其责任的定义可以在CISSPOfficialGuide中找到更详细的解释。根据J0ker的复习经验,角色1、2、4、5的定义和责任在CBK复习时是需要着重看一下。
来源:51CTO.com 作者:梁林 责编:豆豆技术应用