J0ker的CISSP之路:温习-Information Security Management(3)51CTO博客 - 威尼斯人

J0ker的CISSP之路:温习-Information Security Management(3)51CTO博客

2019-03-06 10:47:48 | 作者: 凡雁 | 标签: 信息,安排,分级 | 浏览: 3042

本文一起宣布在:[url]http://netsecurity.51cto.com/art/200710/57471.htm[/url]     在《J0ker的CISSP之路》的上一个文章里,J0ker给咱们简略介绍了危险剖析和评价的一些要害。咱们都知道,假如一起做多个工作,就需求依照工作的轻重缓急来安排好履行的次序和投入,施行信息安全项目时也有必要如此,需求依据所要保护的信息财物的价值,来布置不同的安全计划,进行费效比评价,本文J0ker将向咱们介绍的Information Classification(信息分级),就是这样一个协助安排更有用的进行安全项意图重要东西。   什么是信息分级?
      信息分级是安排依据信息的事务危险(Business Risk)、数据本身价值和其他的规范,对信息进行等级的区分。安排能够经过信息分级,发现影响影响安排事务的最明显要素,并依据信息等级对信息施行不同的保护、备份康复等计划。信息分级的意图在于下降安排保护本身一切信息的本钱,一起,信息分级对要害信息的标识,也能够增强安排的决议计划才能。   安排施行信息分级有什么优点?
     信息分级应该在安排级的层次上进行施行,假如在部分等级或更低的层次上进行施行,则表现不出它的优势。安排施行信息分级的优点有:     1、安排规模的一切数据由于施行了正确的保护措施而提高了保密性、完整性和可用性
     2、安排能够尽可能有用的运用信息保护的预算,由于安排能够依据信息等级规划和布置最合适的保护计划
    3、安排的决议计划才能和准确性得以经过信息分级来增强 此外,安排还能经过信息分级的处理进程,重新整理本身的事务流程和信息处理需求。   信息分级的一般流程
各个安排由于本身的状况不同,信息分级项意图流程都各不相同。CISSP Official Guide中供给了一个比较有用通用的流程,J0ker将要把它列在下面,并简略说一下CISSP考试中常见的题型和调查的要点,一起,这些常识点也是一个CISSP应该通晓的内容。   一个规范信息分级项意图流程有:
     1、初始预备,Official Guide里边把这个阶段归纳为”Question to ask“,并供给了若干问题,信息分级项意图主管应确保这个阶段的问题都得到满足回答才持续项目。这些问题分别是:      办理层是否支撑这个信息分级项目,不论信息分级项目仍是其他更大的安全项目,办理层对项意图支撑是项目成功的首要要素,CISSP CBK一向遵循这个观念,也反映在CISSP考试的试卷上;
    要保护的信息目标和危险要素是什么,这能够经过接下去的危险剖析过程来得到回答;
是否有法律法规上的要求,信息分级项目主管在施行项目时要优先考虑法律法规方面的要素;
    安排的信息是否为整个事务流程所具有(Has the business accepted owner shipre sponsibility for the data),按J0ker的了解,这个问题问的应该是安排是否现已意识到,信息是来自于并用于安排的整个事务流程,而非只存在于各种IT设备中。     是否现已预备好进行项目所需的各种资源,这些资源包含项目各过程的规划和预备、人员的训练等     2、拟定辅导信息分级项意图各种战略,包含:
    信息安全战略(Information Security Policy),规则了安排对本身一切数据的一切权、数据的保护需求、办理层对信息安全项意图支撑等。信息安全战略是一个从总体上而非细节上断定安排信息安全需求的文档,安排的一切安全项目都环绕它来进行。     数据办理战略(Data Management Policy),规则信息分级是保护信息财物的一个处理流程,并断定了每一个信息分级的界说、安全需求以及各人物对分级信息的职责。     信息办理战略(Information Management Policy),作为信息安全战略的弥补,信息办理战略规则了以下几点:     ①信息是其所属事务单元的财物;
    ②事务单元的办理者是信息的一切者;
    ③IT设备和部分是信息的持有人;
    ④界说信息分级和一切权之中运用到的各种人物和职责;
    ⑤界说各信息等级和其对应的规范;
    ⑥界说每个信息等级的最小安全需求规模。
    其间,榜首、第二点是CISSP考试中常调查到的点,信息分级中的各种人物和职责也是CISSP内容中一个重要的内容,好几个CBK中的常识体系都与它有直接的联系。     3、危险剖析:拟定好信息分级项目所需的各种战略和流程之后,项目就能够进入到下一个阶段——危险剖析,危险剖析需求安排的各个部分的代表组成一个联合工作小组进行操作,假如资源或其他原因不允许,也应该由对安排中最重要的部分的代表组成工作小组。J0ker在这次再次提示一下,危险剖析过程成功的一个最重要要素依然是来自办理层的支撑,CISSP考试中也常常调查这点。     4、施行信息分级:在信息分级规范断定和危险剖析完成后,项目就进入到信息分级的施行阶段。从本钱和操控难度的视点来说,一个安排对其信息运用太多的信息等级是不明智的,这样除了会添加布置、办理本钱和操控的难度外,也会由于分级太多而导致人员职责不清、功率低劣等坏处,所以能够选用恰当数量的信息等级并给每个等级赋予简略易记的姓名。
     Official Guide中供给的信息分级示例可供参考,在一个公司里边,信息能够依据事务和危险分为3个等级:      Public,可揭露的信息;
     Internal Use Only,仅限公司内部运用的各种信息(但不保密);
     Company Confidential,公司秘要文档。
           此外,在温习信息分级这个部分时,还有人物及职责的界说这个常识点也需求侧重温习一下,信息分级中的人物能够依据安排的具体状况来界说,最常见的有:
    (1)、Information Owner,安排中信息所属部分的司理或办理者
    (2)、Information Custodian,通常是IT部分,担任进行信息的日常保护
    (3)、Application Owner,安排中具有某个处理信息的应用程序的部分的司理或办理者
    (4)、User Manager,安排中对用户和职工进行办理的部分或人,HR部分就是一个比如
    (5)、Security Administrator,担任办理安排中人员的体系帐户等运用状况的人员,通常是安排中的网管
    (6)、Security Analyst,担任拟定安排的各种等级的信息安全计划、各种安全文档等,通常是CIO、CISO、CSO之类的人物
    (7)、Data Analyst,担任依据安排事务进行数据结构或类型的规划、保护等操作的人员
    (8)、Solution Provider和DataAnalyst协作,供给数据处理计划的人员
    (9)、End User,最终用户
     关于各人物及其职责的界说能够在CISSP  Official   Guide中找到更具体的解说。依据J0ker的温习经历,人物1、2、4、5的界说和职责在CBK温习时是需求侧重看一下。   下篇预告:《Information Security Management(4)》,J0ker将向咱们介绍Policy/Standard/Guideline/Procedure等安全文档及布置流程,还将给咱们总结一下本CBK,敬请期待!
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表威尼斯人立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章