信息分级是组织根据信息的业务风险(Business Risk)、数据本身价值和其他的标准,对信息进行等级的划分。组织可以通过信息分级,发现影响影响组织业务的最显著因素,并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的成本,同时,信息分级对关键信息的标识,也可以增强组织的决策能力。
信息分级应该在组织级的层次上进行实施,如果在部门级别或更低的层次上进行实施,则体现不出它的优势。组织实施信息分级的好处有:
2、组织可以尽可能有效的利用信息保护的预算,因为组织可以根据信息等级设计和部署最合适的保护方案
3、组织的决策能力和准确性得以通过信息分级来增强
各个组织因为自身的情况不同,信息分级项目的流程都各不相同。CISSP Official Guide中提供了一个比较有效通用的流程,J0ker将要把它列在下面,并简单说一下CISSP考试中常见的题型和考察的重点,同时,这些知识点也是一个CISSP应该精通的内容。
1、初始准备,Official Guide里面把这个阶段概括为”Question to ask“,并提供了若干问题,信息分级项目的主管应保证这个阶段的问题都得到满意解答才继续项目。这些问题分别是:
要保护的信息对象和风险因素是什么,这可以通过接下去的风险分析步骤来得到解答;
是否有法律法规上的要求,信息分级项目主管在实施项目时要优先考虑法律法规方面的因素;
组织的信息是否为整个业务流程所拥有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,这个问题问的应该是组织是否已经意识到,信息是来自于并用于组织的整个业务流程,而非只存在于各种IT设施中。
信息安全策略(Information Security Policy),规定了组织对自身所有数据的所有权、数据的保护需求、管理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信息安全需求的文档,组织的所有安全项目都围绕它来进行。
②业务单元的管理者是信息的所有者;
③IT设施和部门是信息的持有人;
④定义信息分级和所有权之中使用到的各种角色和责任;
⑤定义各信息等级和其对应的标准;
⑥定义每个信息等级的最小安全需求范围。
其中,第一、第二点是CISSP考试中常考察到的点,信息分级中的各种角色和责任也是CISSP内容中一个重要的内容,好几个CBK中的知识体系都与它有直接的关系。
Official Guide中提供的信息分级示例可供参考,在一个公司里面,信息可以根据业务和风险分为3个等级:Public,可公开的信息;
Internal Use Only,仅限公司内部使用的各种信息(但不保密);
Company Confidential,公司机密文档。
此外,在复习信息分级这个部分时,还有角色及责任的定义这个知识点也需要着重复习一下,信息分级中的角色可以根据组织的具体情况来定义,最常见的有:
(1)、Information Owner,组织中信息所属部门的经理或管理者
(2)、Information Custodian,通常是IT部门,负责进行信息的日常维护
(3)、Application Owner,组织中拥有某个处理信息的应用程序的部门的经理或管理者
(4)、User Manager,组织中对用户和员工进行管理的部门或人,HR部门便是一个例子
(5)、Security Administrator,负责管理组织中人员的系统帐户等使用情况的人员,通常是组织中的网管
(6)、Security Analyst,负责制定组织的各种级别的信息安全计划、各种安全文档等,通常是CIO、CISO、CSO之类的人物
(7)、Data Analyst,负责根据组织业务进行数据结构或类型的设计、维护等操作的人员
(8)、Solution Provider和DataAnalyst协作,提供数据处理方案的人员
(9)、End User,最终用户
关于各角色及其责任的定义可以在CISSPOfficialGuide中找到更详细的解释。根据J0ker的复习经验,角色1、2、4、5的定义和责任在CBK复习时是需要着重看一下。