复习-Information Security Management(1)

                                                                                                                   作者：安言咨询 J0ker

从本文开始，带大家进入CISSP考试的复习中——2007年(ISC)2修改过CISSP考试的各CBK名称和内容，但新内容绝大部分和原来的CISSP CBK相同。J0ker将使用(ISC)²最新的Official Guide to the CISSP CBK作为本系列文章的参考资料。

　　OK，我们开始CISSP复习的第一章 Information Security and Risk Management

　　安全行业有句行话，“三分技术，七分管理”，意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时，常常只顾宣传自己的产品有多好，却没有向客户说明产品是否适用于目标企业的实际环境，而客户也往往没有意识这一点。CISSP需要明白，安全技术也好，安全产品也好，都是必须从属于安全管理，只能因管理而技术，从安全技术和产品的使用去推导安全管理应该怎么做，就是本末倒置了。因此CISSP CBK中引入了Information Security and Risk Management 这一概念，假如把企业的信息安全计划比作一艘船，信息安全管理就如同灯塔，指挥着船往哪里走，怎么走，如果舵手（CISSP）不按照灯塔（Information Security 安and Risk Management）的指示走，船就很可能触礁沉没（安全项目失败，或达不到想要的效果）

　　信息安全管理，或者说所有的信息安全项目，都是围绕着实现信息资产的A-I-C三角而设计和实施的。所谓的A-I-C三角，也即信息资产的三个重要属性：Availability，可用性，保证信息资产对授权的用户随时可用；Integrity, 完整性，保证信息资产不受有意或无意的未授权修改；Confidentiality，保密性，保证信息资产不受未经授权的访问。 A-I-C三角也是贯穿整个CISSP CBK内容的宗旨。因此，对一个组织实体来说，信息安全管理的内容就是识别信息资产的类型价值，并通过开发、记录和实施安全策略（Policies）、标准（Standards）、流程（Procedures）和指导（Guidelines）来确保信息资产的A-I-C属性。在这个过程中，需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估，我们可以使用数据分级（Data classification）、安全意识教育(Security Awareness Training)、风险评估(Risk Assessment)和风险分析（Risk Analysis）这些工具来完成。J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。

　　在CISSP CBK中还可以看到一个和信息安全管理相似的名词——风险管理(Risk Management)，信息安全管理是从管理流程的角度实现信息资产的保护，而风险管理则是从风险防范的角度出发，将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程，它包括整体安全评估（