CISSP的成长之路(九):复习信息安全管理(3)

上一篇文章《复习信息安全治理(2)》里,J0ker给大家简单介绍了风险分析和评估的一些要点。我们都知道,假如同时做多个事情,就需要按照事情的轻重缓急来安排好执行的顺序和投入,实施信息安全项目时也必须如此,需要根据所要保护的信息资产的价值,来部署不同的安全方案,进行费效比评估,本文J0ker将向大家介绍的Information Classification(信息分级),便是这样一个帮助组织更有效的进行安全项目的重要工具。

什么是信息分级?
信息分级是组织根据信息的业务风险(Business Risk)、数据本身价值和其他的标准,对信息进行等级的划分。组织可以通过信息分级,发现影响影响组织业务的最显著因素,并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的成本,同时,信息分级对要害信息的标识,也可以增强组织的决策能力。

组织实施信息分级有什么好处?
信息分级应该在组织级的层次上进行实施,假如在部门级别或更低的层次上进行实施,则体现不出它的优势。组织实施信息分级的好处有:

1、组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性
2、组织可以尽可能有效的利用信息保护的预算,因为组织可以根据信息等级设计和部署最合适的保护方案
3、组织的决策能力和准确性得以通过信息分级来增强

此外,组织还能通过信息分级的处理过程,重新整理自身的业务流程和信息处理需求。

信息分级的一般流程
各个组织因为自身的情况不同,信息分级项目的流程都各不相同。CISSP Official Guide中提供了一个比较有效通用的流程,J0ker将要把它列在下面,并简单说一下CISSP考试中常见的题型和考察的重点,同时,这些知识点也是一个CISSP应该精通的内容。

一个标准信息分级项目的流程有:
1、初始预备,Official Guide里面把这个阶段概括为”Question to ask“,并提供了若干问题,信息分级项目的主管应保证这个阶段的问题都得到满足解答才继续项目。这些问题分别是:

治理层是否支持这个信息分级项目,不管信息分级项目还是其他更大的安全项目,治理层对项目的支持是项目成功的首要因素,CISSP CBK一直贯彻这个观点,也反映在CISSP考试的试卷上;
要保护的信息对象和风险因素是什么,这可以通过接下去的风险分析步骤来得到解答;
是否有法律法规上的要求,信息分级项目主管在实施项目时要优先考虑法律法规方面的因素;
组织的信息是否为整个业务流程所拥有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,这个问题问的应该是组织是否已经意识到,信息是来自于并用于组织的整个业务流程,而非只存在于各种IT设施中。

是否已经预备好进行项目所需的各种资源,这些资源包括项目各步骤的规划和预备、人员的培训等

2、制定指导信息分级项目的各种策略,包括:
信息安全策略(Information Security Policy),规定了组织对自身所有数据的所有权、数据的保护需求、治理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信息安全需求的文档,组织的所有安全项目都围绕它来进行。

数据治理策略(Data Management Policy),规定信息分级是保护信息资产的一个处理流程,并确定了每一个信息分级的定义、安全需求以及各角色对分级信息的责任。

信息治理策略(Information Management Policy),作为信息安全策略的补充,信息治理策略规定了以下几点:

①信息是其所属业务单元的资产;
②业务单元的治理者是信息的所有者;
③IT设施和部门是信息的持有人;
④定义信息分级和所有权之中使用到的各种角色和责任;
⑤定义各信息等级和其对应的标准;
⑥定义每个信息等级的最小安全需求范围。
其中,第一、第二点是CISSP考试中常考察到的点,信息分级中的各种角色和责任也是CISSP内容中一个重要的内容,好几个CBK中的知识体系都与它有直接的关系。

3、风险分析:制定好信息分级项目所需的各种策略和流程之后,项目就可以进入到下一个阶段——风险分析,风险分析需要组织的各个部门的代表组成一个联合工作小组进行操作,假如资源或其他原因不答应,也应该由对组织中最重要的部门的代表组成工作小组。J0ker在这次再次提醒一下,风险分析步骤成功的一个最重要因素依然是来自治理层的支持,CISSP考试中也经常考察这点。

4、实施信息分级:在信息分级标准确定和风险分析完成后,项目就进入到信息分级的实施阶段。从成本和控制难度的角度来说,一个组织对其信息使用太多的信息等级是不明智的,这样除了会增加部署、治理成本和控制的难度外,也会因为分级太多而导致人员责任不清、效率低下等弊端,所以可以采用适当数量的信息等级并给每个等级赋予简单易记的名字。
Official Guide中提供的信息分级示例可供参考,在一个公司里面,信息可以根据业务和风险分为3个等级:Public,可公开的信息;
Internal Use Only,仅限公司内部使用的各种信息(但不保密);
Company Confidential,公司机密文档。
此外,在复习信息分级这个部分时,还有角色及责任的定义这个知识点也需要着重复习一下,信息分级中的角色可以根据组织的具体情况来定义,最常见的有:
(1)、Information Owner,组织中信息所属部门的经理或治理者
(2)、Information Custodian,通常是IT部门,负责进行信息的日常维护
(3)、Application Owner,组织中拥有某个处理信息的应用程序的部门的经理或治理者
(4)、User Manager,组织中对用户和员工进行治理的部门或人,HR部门便是一个例子
(5)、Security Administrator,负责治理组织中人员的系统帐户等使用情况的人员,通常是组织中的网管
(6)、Security Analyst,负责制定组织的各种级别的信息安全计划、各种安全文档等,通常是CIO、CISO、CSO之类的人物
(7)、Data Analyst,负责根据组织业务进行数据结构或类型的设计、维护等操作的人员

(8)、Solution Provider和DataAnalyst协作,提供数据处理方案的人员
(9)、End User,最终用户
关于各角色及其责任的定义可以在CISSPOfficialGuide中找到更具体的解释。根据J0ker的复习经验,角色1、2、4、5的定义和责任在CBK复习时是需要着重看一下。

转载于:https://www.cnblogs.com/China-Dragon/archive/2009/03/22/1419299.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/264388.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux硬盘检测工具,CrazyDiskInfo 硬盘检测工具 Linux版 | 厘米天空

之前本站介绍过CrystalDiskInfo这款windows下的硬盘检测工具,今天来看看Linux下的版本CrazyDiskInfo。CrazyDiskInfo是一款用于Unix类系统的交互式TUI S.M.A.R.T查看器,可以查看硬盘健康情况,是否有坏扇区等。项目地址:https://gi…

PHP中this,self,parent的区别

一、 PHP中this,self,parent的区别之一this篇 面向对象编程(OOP,Object OrientedProgramming)现已经成为编程人员的一项基本技能。利用OOP的思想进行PHP的高级编程,对于提高PHP编程能力和规划web开发构架都是很有意义的。 PHP5经过重写后,对OOP的支持额有…

ListView下拉刷新、上拉载入更多之封装改进

在Android中ListView下拉刷新、上拉载入更多示例一文中,Maxwin兄给出的控件比较强大,前面有详细介绍,但是有个不足就是,里面使用了一些资源文件,包括图片,String,layout,这样不利于封…

Refactoring Connection To Sql

您的程序不必登录设计一个库,注册设计一个库,一个站点设计一个库即可。您的连接数据库的字符串有写错,另外建议不要用中文来命名站点名或是网页名称。 Refactoring之后做法如下: 文件格式:.wmv;大小&#x…

linux 远程图形终端,图形终端远程操作Linux

一、想要在远程终端运用图形界面来操作和控制Linux效劳器,就在windows下像运用MSTSC(远程桌面)一样。linux经过XDMCP来提供这种支持,我们只需用一个终端仿真软件:xmanager,但是装完Xmanager后是不能直接远程衔接Linux效劳器的Xwin…

windows下nginx的安装及使用

1.下载nginx http://nginx.org/en/download.html 下载稳定版本,以nginx/Windows-1.12.2为例,直接下载 nginx-1.12.2.zip 下载后解压,解压后如下 2.启动nginx 有很多种方法启动nginx (1)直接双击nginx.exe,双击后一个黑色的…

win8.1出现 called runscript when not marked in progress

1.打开任务管理器-详细信息-结束图片中选择的进程 2.然后在任务管理器左上角“文件“>运行新任务: 输入C:\\Windows\explorer.exe,并勾选”以系统管理权限创建此任务“,点击确定: 3.这样就可以继续安装了。 转载于:https://www…

学游泳

今天上午又去了人大附中,门紧锁着,去正门一问才知道,要周末下午1点30才开门,平时是5点30。回家吧,外面居然下起了星星点点的小雪,北京的三月…… 学蛙泳 老旱四诀之蛙泳 分手压腕, 双锚拉纤, 高肘抱水, 翻…

Linux中内联函数,Windows 7上的内联函数的doParallel问题(适用于Linux)

我在Windows 7和Linux(SUSE Server 11(x86_64))上都使用R 3.0.1.以下示例代码在Windows上产生错误,但在Linux上不产生错误.列出的所有工具箱在两台机器中都是最新的.Windows错误是:Error in { : task 1 failed - "NULL value passed as symbol address"如…

Content-Disposition 响应头,设置文件在浏览器打开还是下载

Content-Disposition属性有两种类型:inline 和 attachment inline :将文件内容直接显示在页面 attachment:弹出对话框让用户下载 code: context.Response.ContentType "text/plain"; string fileName context.Request[&qu…

两个栈实现双端队列

一个笔试题,当时竟然没想出来,现在实现下 1 /*2 用两个栈实现双端队列3 栈s1,s2。4 pushback()和popback(),必须在s2为空的情况,把s2的都放s1中5 pushfront()和popfront(),必须是在s1为空,把s1的都给放到s2中6 */7 #in…

Java web 打印方案---数飞OA打印方案总结

Web系统中,打印功能一直是个老大难问题,因此产生了很多第三方的控件,多数要收费,而且跟自己的系统结合有一定的麻烦。数飞OA系统采用J2EE技术,jsp打印问题同样存在于OA中。 在数飞OA中,打印方式有三种&…

Linux ftp ldap认证,vsftpd+ldap认证

一、环境系统 CentOS 6.4x64最小化安装IP 192.168.3.19二、安装ldap[roottest ~]# yum install openldap openldap-* -y[roottest ~]# yum install nscd nss-pam-ldapd nss-* pcre pcre-* -y配置ldap[roottest ~]# cd /etc/openldap/[roottest openldap]# cp /usr/sha…

es6-变量的解构赋值

从数组和对象中提取值,对变量进行赋值,这被称为解构 let [foo, [[bar], baz]] [1, [[2], 3]]; foo // 1 bar // 2 baz // 3let [ , , third] ["foo", "bar", "baz"]; third // "baz"let [x, , y] [1, 2, 3];…

浏览器的渲染原理

看到这个标题大家一定会想到这篇神文《How Browsers Work》,这篇文章把浏览器的很多细节讲得很细,而且也被翻译成了中文。为什么我还想写一篇呢?因为两个原因, 1)这篇文章太长了,阅读成本太大,不…

AO 直接调用GeoProcessing 工具

Geoprocessing是ArcGIS的一个基础组成部分。无论你是一个新手抑或老资格的专家,geoprocessing都是你使用ArcGIS完成每天工作的一部分。它提供了数据分析、数据管理和数据转换等对于所用GIS用户都必须的工具,当然也包括ArcObjects开发者。GIS程序通常需要…

Linux环境变量PSI指什么,PSI 文件扩展名: 它是什么以及如何打开它?

了解 PSI 问题常见的 PSI 打开问题缺少 PrimalScript双击你的 PSI 文件会提示消息 “%%os%% 无法打开 PSI 文件”。 通常,%%os%% 中会出现这种情况,因为 PrimalScript 未安装在你的电脑上。 由于您的操作系统不知道如何处理此文件,因此无法通…

linux 修改文件时间

1、ls -l *.sh 2、touch -d "10/13/2013" *.sh 【我想把所以的.sh文件修改到三个月前(2013年10月13)的时间。】3、ls -l *.sh 参考文章 http://blog.itpub.net/29283412/viewspace-1070106/ 另外也可以单独修改时间或者月份,如下以…

datetime模块日期转换和列表sorted排序

import datetime dt 2019010103 # 日期 2019年1月1日3时 dts (datetime.datetime.strptime(dt, %Y%m%d%H) datetime.timedelta(days-1)).strftime(%Y%m%d%H) # 将dt向前或向后调整(day表示天,hours表示表示小时,负数往前正数往后&#xf…

差距

现在看明白了自己的距离,该从何处下手? 时间是怎么争取出来的?转载于:https://www.cnblogs.com/rosion/archive/2009/04/11/1433450.html