复习-Information Security Management（4）

                                                             作者：安言咨询  J0ker

作为使组织的安全计划得以更有效进行的工具，Information Classification在安全计划制定前期有不可替代的重要作用。完成风险分析和信息分级之后，安全计划的下一步需要做什么？这便是本文将要介绍的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文档的准备工作。

一个信息安全计划的最终目标，就是要保护目标组织信息资产的完整性、保密性和可用性，而各种针对信息资产的威胁，诸如非授权访问、篡改、毁坏和泄漏等，却常常会破坏组织的信息资产。这样的状况就要求组织把信息安全计划纳入整个组织的资产保护计划中去，此外，信息安全技术并不能完全彻底的保护信息资产免受各种威胁的损害，对组织而言，更多的保护工作应该或只能通过管理上的手段来达到目的。因此，要成功实施一个安全计划，就必须确保组织中的每一个人都理解和支持安全计划，这时，就需要使用安全策略(policy)、安全标准(standard)、安全底线(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段来帮助每一个组织成员理解安全计划，并规范组织成员的行为。

作为安全计划的负责人，组织的信息安全主管通常要负责制定和部署组织的安全策略、标准、指引和安全流程，而他常常会从IT部门中抽调人手进行这些安全文档的制定工作。IT技术背景有时能对信息安全主管理解安全计划的技术方面提供帮助，但过多的技术人员组成却会对安全主管理解组织的业务目标和战略造成困难。安全主管在安全文档的制定过程中，也常常会从各种资料或咨询企业中寻求帮助，但从这些途径中所收集到的信息往往只能作为“怎么做”的参考，而不能回答“为什么要这样做”。因此安全文档的制定和执行还需要安全主管如同进行风险分析和信息分级项目那样，汇集来自组织各个部门的负责人员一起进行。

另外，组织的运作常常还有法律法规方面的要求，这也需要反映到安全策略和流程中去，而法律法规规定了在组织的运作中，谁应该对什么负责和应该怎么做去满足组织的运作要求，这又引入了CISSP CBK中的另外几个重要概念：Duty of loyalty、Due Care和Due Diligence。Duty of loyalty主要是道德及法律上的要求，要求组织成员不应该利用自己所处地位及自己的优势去获得好处；Due Care是要求组织的管理层应该诚实、审慎、对自己及组织负责；而Due Diligence则是要求组织的管理层必须要做的若干使组织符合法律法规、一致性、安全或程序上要求的事情，ISM CBK提供了Due Diligence的七个要点。根据J0ker的理解，Due Care主要是主观上需要，而Due Diligence则是客观上需要的。CISSP考试常常会考察Due Care 和Due Diligence的概念，或利用一个例子来让考生判断是Due Care还是Due Diligence或其他什么概念，在复习时应该多留意一下这几个概念的具体内容和区别。

说完了安全文档对安全计划的意义及相关的内容，我们重新把注意力集中回这些文档本身上，先来看一下各文档的定义：