大家介紹的Information Classification(信息分級),便是這樣一個幫助組織更有效的進行安全項目的重要工具。
什麼是信息分級?
信息分級是組織根據信息的業務風險(Business Risk)、數據本身價值和其他的標準,對信息進行等級的劃分。組織可以通過信息分級,發現影響影響組織業務的最顯著因素,並根據信息等級對信息實施不同的保護、備份恢復等方案。信息分級的目的在於降低組織保護自身所有信息的成本,同時,信息分級對關鍵信息的標識,也可以增強組織的決策能力。
信息分級是組織根據信息的業務風險(Business Risk)、數據本身價值和其他的標準,對信息進行等級的劃分。組織可以通過信息分級,發現影響影響組織業務的最顯著因素,並根據信息等級對信息實施不同的保護、備份恢復等方案。信息分級的目的在於降低組織保護自身所有信息的成本,同時,信息分級對關鍵信息的標識,也可以增強組織的決策能力。
組織實施信息分級有什麼好處?
信息分級應該在組織級的層次上進行實施,如果在部門級別或更低的層次上進行實施,則體現不出它的優勢。組織實施信息分級的好處有:
信息分級應該在組織級的層次上進行實施,如果在部門級別或更低的層次上進行實施,則體現不出它的優勢。組織實施信息分級的好處有:
1、組織範圍的所有數據因爲實施了正確的保護措施而提高了保密性、完整性和可用性
2、組織可以儘可能有效的利用信息保護的預算,因爲組織可以根據信息等級設計和部署最合適的保護方案
3、組織的決策能力和準確性得以通過信息分級來增強
2、組織可以儘可能有效的利用信息保護的預算,因爲組織可以根據信息等級設計和部署最合適的保護方案
3、組織的決策能力和準確性得以通過信息分級來增強
此外,組織還能通過信息分級的處理過程,重新整理自身的業務流程和信息處理需求。
信息分級的一般流程
各個組織因爲自身的情況不同,信息分級項目的流程都各不相同。CISSP Official Guide中提供了一個比較有效通用的流程,J0ker將要把它列在下面,並簡單說一下CISSP考試中常見的題型和考察的重點,同時,這些知識點也是一個CISSP應該精通的內容。
各個組織因爲自身的情況不同,信息分級項目的流程都各不相同。CISSP Official Guide中提供了一個比較有效通用的流程,J0ker將要把它列在下面,並簡單說一下CISSP考試中常見的題型和考察的重點,同時,這些知識點也是一個CISSP應該精通的內容。
一個標準信息分級項目的流程有:
1、初始準備,Official Guide裏面把這個階段概括爲”Question to ask“,並提供了若干問題,信息分級項目的主管應保證這個階段的問題都得到滿意解答才繼續項目。這些問題分別是:
1、初始準備,Official Guide裏面把這個階段概括爲”Question to ask“,並提供了若干問題,信息分級項目的主管應保證這個階段的問題都得到滿意解答才繼續項目。這些問題分別是:
管理層是否支持這個信息分級項目,不管信息分級項目還是其他更大的安全項目,管理層對項目的支持是項目成功的首要因素,CISSP CBK一直貫徹這個觀點,也反映在CISSP考試的試卷上;
要保護的信息對象和風險因素是什麼,這可以通過接下去的風險分析步驟來得到解答;
是否有法律法規上的要求,信息分級項目主管在實施項目時要優先考慮法律法規方面的因素;
組織的信息是否爲整個業務流程所擁有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,這個問題問的應該是組織是否已經意識到,信息是來自於並用於組織的整個業務流程,而非只存在於各種IT設施中。
要保護的信息對象和風險因素是什麼,這可以通過接下去的風險分析步驟來得到解答;
是否有法律法規上的要求,信息分級項目主管在實施項目時要優先考慮法律法規方面的因素;
組織的信息是否爲整個業務流程所擁有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,這個問題問的應該是組織是否已經意識到,信息是來自於並用於組織的整個業務流程,而非只存在於各種IT設施中。
是否已經準備好進行項目所需的各種資源,這些資源包括項目各步驟的規劃和準備、人員的培訓等
2、制定指導信息分級項目的各種策略,包括:
信息安全策略(Information Security Policy),規定了組織對自身所有數據的所有權、數據的保護需求、管理層對信息安全項目的支持等。信息安全策略是一個從總體上而非細節上確定組織信息安全需求的文檔,組織的所有安全項目都圍繞它來進行。
信息安全策略(Information Security Policy),規定了組織對自身所有數據的所有權、數據的保護需求、管理層對信息安全項目的支持等。信息安全策略是一個從總體上而非細節上確定組織信息安全需求的文檔,組織的所有安全項目都圍繞它來進行。
數據管理策略(Data Management Policy),規定信息分級是保護信息資產的一個處理流程,並確定了每一個信息分級的定義、安全需求以及各角色對分級信息的責任。
信息管理策略(Information Management Policy),作爲信息安全策略的補充,信息管理策略規定了以下幾點:
①信息是其所屬業務單元的資產;
②業務單元的管理者是信息的所有者;
③IT設施和部門是信息的持有人;
④定義信息分級和所有權之中使用到的各種角色和責任;
⑤定義各信息等級和其對應的標準;
⑥定義每個信息等級的最小安全需求範圍。
其中,第一、第二點是CISSP考試中常考察到的點,信息分級中的各種角色和責任也是CISSP內容中一個重要的內容,好幾個CBK中的知識體系都與它有直接的關係。
②業務單元的管理者是信息的所有者;
③IT設施和部門是信息的持有人;
④定義信息分級和所有權之中使用到的各種角色和責任;
⑤定義各信息等級和其對應的標準;
⑥定義每個信息等級的最小安全需求範圍。
其中,第一、第二點是CISSP考試中常考察到的點,信息分級中的各種角色和責任也是CISSP內容中一個重要的內容,好幾個CBK中的知識體系都與它有直接的關係。
3、風險分析:制定好信息分級項目所需的各種策略和流程之後,項目就可以進入到下一個階段——風險分析,風險分析需要組織的各個部門的代表組成一個聯合工作小組進行操作,如果資源或其他原因不允許,也應該由對組織中最重要的部門的代表組成工作小組。J0ker在這次再次提醒一下,風險分析步驟成功的一個最重要因素依然是來自管理層的支持,CISSP考試中也經常考察這點。
4、實施信息分級:在信息分級標準確定和風險分析完成後,項目就進入到信息分級的實施階段。從成本和控制難度的角度來說,一個組織對其信息使用太多的信息等級是不明智的,這樣除了會增加部署、管理成本和控制的難度外,也會因爲分級太多而導致人員責任不清、效率低下等弊端,所以可以採用適當數量的信息等級並給每個等級賦予簡單易記的名字。
Official Guide中提供的信息分級示例可供參考,在一個公司裏面,信息可以根據業務和風險分爲3個等級:Public,可公開的信息;
Internal Use Only,僅限公司內部使用的各種信息(但不保密);
Company Confidential,公司機密文檔。
此外,在複習信息分級這個部分時,還有角色及責任的定義這個知識點也需要着重複習一下,信息分級中的角色可以根據組織的具體情況來定義,最常見的有:
(1)、Information Owner,組織中信息所屬部門的經理或管理者
(2)、Information Custodian,通常是IT部門,負責進行信息的日常維護
(3)、Application Owner,組織中擁有某個處理信息的應用程序的部門的經理或管理者
(4)、User Manager,組織中對用戶和員工進行管理的部門或人,HR部門便是一個例子
(5)、Security Administrator,負責管理組織中人員的系統帳戶等使用情況的人員,通常是組織中的網管
(6)、Security Analyst,負責制定組織的各種級別的信息安全計劃、各種安全文檔等,通常是CIO、CISO、CSO之類的人物
(7)、Data Analyst,負責根據組織業務進行數據結構或類型的設計、維護等操作的人員
(8)、Solution Provider和DataAnalyst協作,提供數據處理方案的人員
(9)、End User,最終用戶
關於各角色及其責任的定義可以在CISSPOfficialGuide中找到更詳細的解釋。根據J0ker的複習經驗,角色1、2、4、5的定義和責任在CBK複習時是需要着重看一下。
Official Guide中提供的信息分級示例可供參考,在一個公司裏面,信息可以根據業務和風險分爲3個等級:Public,可公開的信息;
Internal Use Only,僅限公司內部使用的各種信息(但不保密);
Company Confidential,公司機密文檔。
此外,在複習信息分級這個部分時,還有角色及責任的定義這個知識點也需要着重複習一下,信息分級中的角色可以根據組織的具體情況來定義,最常見的有:
(1)、Information Owner,組織中信息所屬部門的經理或管理者
(2)、Information Custodian,通常是IT部門,負責進行信息的日常維護
(3)、Application Owner,組織中擁有某個處理信息的應用程序的部門的經理或管理者
(4)、User Manager,組織中對用戶和員工進行管理的部門或人,HR部門便是一個例子
(5)、Security Administrator,負責管理組織中人員的系統帳戶等使用情況的人員,通常是組織中的網管
(6)、Security Analyst,負責制定組織的各種級別的信息安全計劃、各種安全文檔等,通常是CIO、CISO、CSO之類的人物
(7)、Data Analyst,負責根據組織業務進行數據結構或類型的設計、維護等操作的人員
(8)、Solution Provider和DataAnalyst協作,提供數據處理方案的人員
(9)、End User,最終用戶
關於各角色及其責任的定義可以在CISSPOfficialGuide中找到更詳細的解釋。根據J0ker的複習經驗,角色1、2、4、5的定義和責任在CBK複習時是需要着重看一下。