在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家簡單介紹了風(fēng)險分析和評估的一些要點。我們都知道,如果同時做多個事情,就需要按照事情的輕重緩急來安排好執(zhí)行的順序和投入,實施信息安全項目時也必須如此,需要根據(jù)所要保護的信息資產(chǎn)的價值,來部署不同的安全方案,進行費效比評估,本文J0ker將向大家介紹的Information Classification(信息分級),便是這樣一個幫助組織更有效的進行安全項目的重要工具。
什么是信息分級?
信息分級是組織根據(jù)信息的業(yè)務(wù)風(fēng)險(Business Risk)、數(shù)據(jù)本身價值和其他的標準,對信息進行等級的劃分。組織可以通過信息分級,發(fā)現(xiàn)影響影響組織業(yè)務(wù)的最顯著因素,并根據(jù)信息等級對信息實施不同的保護、備份恢復(fù)等方案。信息分級的目的在于降低組織保護自身所有信息的成本,同時,信息分級對關(guān)鍵信息的標識,也可以增強組織的決策能力。
組織實施信息分級有什么好處?
信息分級應(yīng)該在組織級的層次上進行實施,如果在部門級別或更低的層次上進行實施,則體現(xiàn)不出它的優(yōu)勢。組織實施信息分級的好處有:
1、組織范圍的所有數(shù)據(jù)因為實施了正確的保護措施而提高了保密性、完整性和可用性
2、組織可以盡可能有效的利用信息保護的預(yù)算,因為組織可以根據(jù)信息等級設(shè)計和部署最合適的保護方案
3、組織的決策能力和準確性得以通過信息分級來增強
此外,組織還能通過信息分級的處理過程,重新整理自身的業(yè)務(wù)流程和信息處理需求。
信息分級的一般流程
各個組織因為自身的情況不同,信息分級項目的流程都各不相同。CISSP Official Guide中提供了一個比較有效通用的流程,J0ker將要把它列在下面,并簡單說一下CISSP考試中常見的題型和考察的重點,同時,這些知識點也是一個CISSP應(yīng)該精通的內(nèi)容。
一個標準信息分級項目的流程有:
1、初始準備,Official Guide里面把這個階段概括為”Question to ask“,并提供了若干問題,信息分級項目的主管應(yīng)保證這個階段的問題都得到滿意解答才繼續(xù)項目。這些問題分別是:
管理層是否支持這個信息分級項目,不管信息分級項目還是其他更大的安全項目,管理層對項目的支持是項目成功的首要因素,CISSP CBK一直貫徹這個觀點,也反映在CISSP考試的試卷上;
要保護的信息對象和風(fēng)險因素是什么,這可以通過接下去的風(fēng)險分析步驟來得到解答;
是否有法律法規(guī)上的要求,信息分級項目主管在實施項目時要優(yōu)先考慮法律法規(guī)方面的因素;
組織的信息是否為整個業(yè)務(wù)流程所擁有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,這個問題問的應(yīng)該是組織是否已經(jīng)意識到,信息是來自于并用于組織的整個業(yè)務(wù)流程,而非只存在于各種IT設(shè)施中。
是否已經(jīng)準備好進行項目所需的各種資源,這些資源包括項目各步驟的規(guī)劃和準備、人員的培訓(xùn)等
2、制定指導(dǎo)信息分級項目的各種策略,包括:
信息安全策略(Information Security Policy),規(guī)定了組織對自身所有數(shù)據(jù)的所有權(quán)、數(shù)據(jù)的保護需求、管理層對信息安全項目的支持等。信息安全策略是一個從總體上而非細節(jié)上確定組織信息安全需求的文檔,組織的所有安全項目都圍繞它來進行。
數(shù)據(jù)管理策略(Data Management Policy),規(guī)定信息分級是保護信息資產(chǎn)的一個處理流程,并確定了每一個信息分級的定義、安全需求以及各角色對分級信息的責(zé)任。
信息管理策略(Information Management Policy),作為信息安全策略的補充,信息管理策略規(guī)定了以下幾點:
①信息是其所屬業(yè)務(wù)單元的資產(chǎn);
②業(yè)務(wù)單元的管理者是信息的所有者;
③IT設(shè)施和部門是信息的持有人;
④定義信息分級和所有權(quán)之中使用到的各種角色和責(zé)任;
⑤定義各信息等級和其對應(yīng)的標準;
⑥定義每個信息等級的最小安全需求范圍。
其中,第一、第二點是CISSP考試中常考察到的點,信息分級中的各種角色和責(zé)任也是CISSP內(nèi)容中一個重要的內(nèi)容,好幾個CBK中的知識體系都與它有直接的關(guān)系。
3、風(fēng)險分析:制定好信息分級項目所需的各種策略和流程之后,項目就可以進入到下一個階段——風(fēng)險分析,風(fēng)險分析需要組織的各個部門的代表組成一個聯(lián)合工作小組進行操作,如果資源或其他原因不允許,也應(yīng)該由對組織中最重要的部門的代表組成工作小組。J0ker在這次再次提醒一下,風(fēng)險分析步驟成功的一個最重要因素依然是來自管理層的支持,CISSP考試中也經(jīng)常考察這點。
4、實施信息分級:在信息分級標準確定和風(fēng)險分析完成后,項目就進入到信息分級的實施階段。從成本和控制難度的角度來說,一個組織對其信息使用太多的信息等級是不明智的,這樣除了會增加部署、管理成本和控制的難度外,也會因為分級太多而導(dǎo)致人員責(zé)任不清、效率低下等弊端,所以可以采用適當(dāng)數(shù)量的信息等級并給每個等級賦予簡單易記的名字。
Official Guide中提供的信息分級示例可供參考,在一個公司里面,信息可以根據(jù)業(yè)務(wù)和風(fēng)險分為3個等級:Public,可公開的信息;
Internal Use Only,僅限公司內(nèi)部使用的各種信息(但不保密);
Company Confidential,公司機密文檔。
此外,在復(fù)習(xí)信息分級這個部分時,還有角色及責(zé)任的定義這個知識點也需要著重復(fù)習(xí)一下,信息分級中的角色可以根據(jù)組織的具體情況來定義,最常見的有:
(1)、Information Owner,組織中信息所屬部門的經(jīng)理或管理者
(2)、Information Custodian,通常是IT部門,負責(zé)進行信息的日常維護
(3)、Application Owner,組織中擁有某個處理信息的應(yīng)用程序的部門的經(jīng)理或管理者
(4)、User Manager,組織中對用戶和員工進行管理的部門或人,HR部門便是一個例子
(5)、Security Administrator,負責(zé)管理組織中人員的系統(tǒng)帳戶等使用情況的人員,通常是組織中的網(wǎng)管
(6)、Security Analyst,負責(zé)制定組織的各種級別的信息安全計劃、各種安全文檔等,通常是CIO、CISO、CSO之類的人物
(7)、Data Analyst,負責(zé)根據(jù)組織業(yè)務(wù)進行數(shù)據(jù)結(jié)構(gòu)或類型的設(shè)計、維護等操作的人員
(8)、Solution Provider和DataAnalyst協(xié)作,提供數(shù)據(jù)處理方案的人員
(9)、End User,最終用戶
關(guān)于各角色及其責(zé)任的定義可以在CISSPOfficialGuide中找到更詳細的解釋。根據(jù)J0ker的復(fù)習(xí)經(jīng)驗,角色1、2、4、5的定義和責(zé)任在CBK復(fù)習(xí)時是需要著重看一下。
下篇預(yù)告:《Information Security Management(4)》,J0ker將向大家介紹Policy/Standard/Guideline/Procedure等安全文檔及部署流程,還將給大家總結(jié)一下本CBK,敬請期待!
