CISSP的成长之路（九）：复习信息安全管理(3)

上一篇文章《复习信息安全管理（2）》里，J0ker给大家简单介绍了风险分析和评估的一些要点。我们都知道，如果同时做多个事情，就需要按照事情的轻重缓急来安排好执行的顺序和投入，实施信息安全项目时也必须如此，需要根据所要保护的信息资产的价值，来部署不同的安全方案，进行费效比评估，本文J0ker将向大家介绍的Information Classification（信息分级），便是这样一个帮助组织更有效的进行安全项目的重要工具。

什么是信息分级？
信息分级是组织根据信息的业务风险（Business Risk）、数据本身价值和其他的标准，对信息进行等级的划分。组织可以通过信息分级，发现影响影响组织业务的最显著因素，并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的成本，同时，信息分级对关键信息的标识，也可以增强组织的决策能力。

组织实施信息分级有什么好处？
信息分级应该在组织级的层次上进行实施，如果在部门级别或更低的层次上进行实施，则体现不出它的优势。组织实施信息分级的好处有：

1、组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性
2、组织可以尽可能有效的利用信息保护的预算，因为组织可以根据信息等级设计和部署最合适的保护方案
3、组织的决策能力和准确性得以通过信息分级来增强

此外，组织还能通过信息分级的处理过程，重新整理自身的业务流程和信息处理需求。

信息分级的一般流程
各个组织因为自身的情况不同，信息分级项目的流程都各不相同。CISSP Official Guide中提供了一个比较有效通用的流程，J0ker将要把它列在下面，并简单说一下CISSP考试中常见的题型和考察的重点，同时，这些知识点也是一个CISSP应该精通的内容。

一个标准信息分级项目的流程有：
1、初始准备，Official Guide里面把这个阶段概括为”Question to ask“，并提供了若干问题，信息分级项目的主管应保证这个阶段的问题都得到满意解答才继续项目。这些问题分别是：

管理层是否支持这个信息分级项目，不管信息分级项目还是其他更大的安全项目，管理层对项目的支持是项目成功的首要因素，CISSP CBK一直贯彻这个观点，也反映在CISSP考试的试卷上；
要保护的信息对象和风险因素是什么，这可以通过接下去的风险分析步骤来得到解答；
是否有法律法规上的要求，信息分级项目主管在实施项目时要优先考虑法律法规方面的因素；
组织的信息是否为整个业务流程所拥有(Has the business accepted owner shipre sponsibility for the data)，按J0ker的理解，这个问题问的应该是组织是否已经意识到，信息是来自于并用于组织的整个业务流程，而非只存在于各种IT设施中。

是否已经准备好进行项目所需的各种资源，这些资源包括项目各步骤的规划和准备、人员的培训等

2、制定指导信息分级项目的各种策略，包括：
信息安全策略（Information Security Policy）,规定了组织对自身所有数据的所有权、数据的保护需求、管理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信息安全需求的文档，组织的所有安全项目都围绕它来进行。

数据管理策略（Data Management Policy），规定信息分级是保护信息资产的一个处理流程，并确定了每一个信息分级的定义、安全需求以及各角色对分级信息的责任。

信息管理策略（Information Management Policy），作为信息安全策略的补充，信息管理策略规定了以下几点：

①信息是其所属业务单元的资产；
②业务单元的管理者是信息的所有者；
③IT设施和部门是信息的持有人；
④定义信息分级和所有权之中使用到的各种角色和责任；
⑤定义各信息等级和其对应的标准；
⑥定义每个信息等级的最小安全需求范围。
其中，第一、第二点是CISSP考试中常考察到的点，信息分级中的各种角色和责任也是CISSP内容中一个重要的内容，好几个CBK中的知识体系都与它有直接的关系。

3、风险分析：制定好信息分级项目所需的各种策略和流程之后，项目就可以进入到下一个阶段——风险分析，风险分析需要组织的各个部门的代表组成一个联合工作小组进行操作，如果资源或其他原因不允许，也应该由对组织中最重要的部门的代表组成工作小组。J0ker在这次再次提醒一下，风险分析步骤成功的一个最重要因素依然是来自管理层的支持，CISSP考试中也经常考察这点。

4、实施信息分级：在信息分级标准确定和风险分析完成后，项目就进入到信息分级的实施阶段。从成本和控制难度的角度来说，一个组织对其信息使用太多的信息等级是不明智的，这样除了会增加部署、管理成本和控制的难度外，也会因为分级太多而导致人员责任不清、效率低下等弊端，所以可以采用适当数量的信息等级并给每个等级赋予简单易记的名字。
Official Guide中提供的信息分级示例可供参考，在一个公司里面，信息可以根据业务和风险分为3个等级：Public，可公开的信息；
Internal Use Only，仅限公司内部使用的各种信息（但不保密）；
Company Confidential，公司机密文档。
此外，在复习信息分级这个部分时，还有角色及责任的定义这个知识点也需要着重复习一下，信息分级中的角色可以根据组织的具体情况来定义，最常见的有：
(1)、Information Owner，组织中信息所属部门的经理或管理者
(2)、Information Custodian，通常是IT部门，负责进行信息的日常维护
(3)、Application Owner，组织中拥有某个处理信息的应用程序的部门的经理或管理者
(4)、User Manager，组织中对用户和员工进行管理的部门或人，HR部门便是一个例子
(5)、Security Administrator，负责管理组织中人员的系统帐户等使用情况的人员，通常是组织中的网管
(6)、Security Analyst，负责制定组织的各种级别的信息安全计划、各种安全文档等，通常是CIO、CISO、CSO之类的人物
(7)、Data Analyst，负责根据组织业务进行数据结构或类型的设计、维护等操作的人员
(8)、Solution Provider和DataAnalyst协作，提供数据处理方案的人员
(9)、End User，最终用户
关于各角色及其责任的定义可以在CISSPOfficialGuide中找到更详细的解释。根据J0ker的复习经验，角色1、2、4、5的定义和责任在CBK复习时是需要着重看一下。