CISSP的成长之路（十）：复习信息安全管理(4)

上一篇文章《复习信息安全管理（3）》里，J0ker给大家介绍了Information Classification的相关内容，作为使组织的安全计划得以更有效进行的工具，Information Classification在安全计划制定前期有不可替代的重要作用。完成风险分析和信息分级之后，安全计划的下一步需要做什么？这便是本文将要介绍的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文档的准备工作。

一个信息安全计划的最终目标，就是要保护目标组织信息资产的完整性、保密性和可用性，而各种针对信息资产的威胁，诸如非授权访问、篡改、毁坏和泄漏等，却常常会破坏组织的信息资产。这样的状况就要求组织把信息安全计划纳入整个组织的资产保护计划中去，此外，信息安全技术并不能完全彻底的保护信息资产免受各种威胁的损害，对组织而言，更多的保护工作应该或只能通过管理上的手段来达到目的。因此，要成功实施一个安全计划，就必须确保组织中的每一个人都理解和支持安全计划，这时，就需要使用安全策略(policy)、安全标准(standard)、安全底线(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段来帮助每一个组织成员理解安全计划，并规范组织成员的行为。

作为安全计划的负责人，组织的信息安全主管通常要负责制定和部署组织的安全策略、标准、指引和安全流程，而他常常会从IT部门中抽调人手进行这些安全文档的制定工作。IT技术背景有时能对信息安全主管理解安全计划的技术方面提供帮助，但过多的技术人员组成却会对安全主管理解组织的业务目标和战略造成困难。安全主管在安全文档的制定过程中，也常常会从各种资料或咨询企业中寻求帮助，但从这些途径中所收集到的信息往往只能作为“怎么做”的参考，而不能回答“为什么要这样做”。因此安全文档的制定和执行还需要安全主管如同进行风险分析和信息分级 项目那样，汇集来自组织各个部门的负责人员一起进行。

另外，组织的运作常常还有法律法规方面的要求，这也需要反映到安全策略和流程中去，而法律法规规定了在组织的运作中，谁应该对什么负责和应该怎么做去满足组织的运作要求，这又引入了CISSP CBK中的另外几个重要概念：Duty of loyalty、Due Care和Due Diligence。
Duty of loyalty主要是道德及法律上的要求，要求组织成员不应该利用自己所处地位及自己的优势去获得好处；
Due Care是要求组织的管理层应该诚实、审慎、对自己及组织负责；而Due Diligence则是要求组织的管理层必须要做的若干使组织符合法律法规、一致性、安全或程序上要求的事情，ISM CBK提供了Due Diligence的七个要点。
根据J0ker的理解，Due Care主要是主观上需要，而Due Diligence则是客观上需要的。CISSP考试常常会考察Due Care 和Due Diligence的概念，或利用一个例子来让考生判断是Due Care还是Due Diligence或其他什么概念，在复习时应该多留意一下这几个概念的具体内容和区别。

说完了安全文档对安全计划的意义及相关的内容，我们重新把注意力集中回这些文档本身上，先来看一下各文档的定义：

Policy：一个组织级的信息安全策略包含了组织管理层对一个安全项目的目标、评价、责任等属性的指导，还定义了一个组织对信息安全的理解。信息安全策略是简短的，并不来自于技术或解决方案的，并为进一步的基于技术或解决方案的Standard（安全标准）等提供管理层的授权。另外如果组织规模较大，还会制定和部署部门级的安全策略文档，它和组织级的安全策略相类似，但也针对部门的职能进行了进一步的描述和规定。在Official Guide中有关于Policy的示例，有需要的朋友可以参考一下。
Standard：安全标准是支持安全策略实施，并通过规定具体的标准和实施的方向来支持使安全策略能更为有效执行的文档，它规定了强制性的活动、行为、规则和制度等，通常会规定具体的技术手段、产品或解决方案等，并在组织内部整体实施。
Baseline：安全底线和安全标准相类似，也是通过强制性的手段和规定来支持安全策略实施的文档，但安全底线和安全标准不同的地方在于，安全标准更偏重于宏观上要达到或者要实现什么目的，而安全底线则是根据同一类型信息资产中不同子类型的特点分别制定的强制规则，如组织客户端使用的操作系统包括Windows 2000、Windows XP和Windows 2003，要求所有的客户端系统都按照某个厂商某一个版本的反病毒软件，就是安全标准；而Windows 2000/XP/2003分别进行什么安全配置，则是安全底线。
Guideline：安全指导是非强制性的，带有建议性质的安全文档，它通过建议组织及其成员，进行建议的行为或活动，来获得更高的安全级别，或对信息安全有更深入了解。
Procedure：安全流程是通过给组织及其成员提供在操作环境中切实可行并具体的每步操作流程和标准，以达到安全策略、安全标准和安全底线等文档规定要求的文档。

在CISSP Official Guide中，还对每一个安全文档都举出了简单的例子，并对它们进行了比较，建议有时间的朋友分别阅读一下，并仔细对比它们之间的联系和差别。J0ker做了一个图，简单的归纳了这些安全文档的联系，图如下：

图1

安全策略、标准、底线、指导和安全流程是确保组织中的每一个成员都理解和遵守组织的安全计划，并完成制定的工作任务的关键元素。CISSP考试中通常会出与这些文档的定义有关的题目，朋友们在复习中可以多留意下这些知识点之间的联系和区别，并通过复习材料中的例子来记忆每一种文档的写法。