复习-Information Security Management（3）

                                                          作者：安言咨询 J0ker

我们都知道，如果同时做多个事情，就需要按照事情的轻重缓急来安排好执行的顺序和投入，实施信息安全项目时也必须如此，需要根据所要保护的信息资产的价值，来部署不同的安全方案，进行费效比评估，本文J0ker将向大家介绍的Information Classification（信息分级），便是这样一个帮助组织更有效的进行安全项目的重要工具。

什么是信息分级？

信息分级是组织根据信息的业务风险（Business Risk）、数据本身价值和其他的标准，对信息进行等级的划分。组织可以通过信息分级，发现影响影响组织业务的最显著因素，并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自身所有信息的成本，同时，信息分级 对关键信息的标识，也可以增强组织的决策能力。

组织实施信息分级 有什么好处？

信息分级应该在组织级的层次上进行实施，如果在部门级别或更低的层次上进行实施，则体现不出它的优势。组织实施信息分级的好处有：

组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性

组织可以尽可能有效的利用信息保护的预算，因为组织可以根据信息等级设计和部署最合适的保护方案

组织的决策能力和准确性得以通过信息分级来增强

此外，组织还能通过信息分级的处理过程，重新整理自身的业务流程和信息处理需求。

信息分级的一般流程

各个组织因为自身的情况不同，信息分级 项目的流程都各不相同。CISSP Official Guide中提供了一个比较有效通用的流程，J0ker将要把它列在下面，并简单说一下CISSP考试中常见的题型和考察的重点，同时，这些知识点也是一个CISSP应该精通的内容。

一个标准信息分级项目的流程有：

初始准备，Official Guide里面把这个阶段概括为”Question to ask“，并提供了若干问题，信息分级项目的主管应保证这个阶段的问题都得到满意解答才继续项目。这些问题分别是：

管理层是否支持这个信息分级项目，不管信息分级项目还是其他更大的安全项目，管理层对项目的支持是项目成功的首要因素，CISSP CBK一直贯彻这个观点，也反映在CISSP考试的试卷上；

要保护的信息对象和风险因素是什么，这可以通过接下去的风险分析步骤来得到解答；

是否有法律法规上的要求，信息分级项目主管在实施项目时要优先考虑法律法规方面的因素；

组织的信息是否为整个业务流程所拥有(Has the business accepted ownership responsibility for the data)，按J0ker的理解，这个问题问的应该是组织是否已经意识到，信息是来自于并用于组织的整个业务流程，而非只存在于各种IT设施中。

是否已经准备好进行项目所需的各种资源，这些资源包括项目各步骤的规划和准备、人员的培训等

制定指导信息分级项目的各种策略，包括：

信息安全策略（Information Security Policy）,规定了组织对自身所有数据的所有权、数据的保护需求、管理层对信息安全项目的支持等。信息安全策略是一个从总体上而非细节上确定组织信息安全需求的文档，组织的所有安全项目都围绕它来进行。