J0ker的CISSP之路:复习-Information Security Management(4)

文章同时发表在： [url]http://netsecurity.51cto.com/art/200710/57991.htm[/url]

   在《J0ker的CISSP之路》系列的上一篇文章里，J0ker给你们介绍了Information Classification的相关内容，做为使组织的安全计划得以更有效进行的工具，Information Classification在安全计划制定前期有不可替代的重要做用。完成风险分析和信息分级以后，安全计划的下一步须要作什么？这即是本文将要介绍的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文档的准备工做。

     一个信息安全计划的最终目标，就是要保护目标组织信息资产的完整性、保密性和可用性，而各类针对信息资产的威胁，诸如非受权访问、篡改、毁坏和泄漏等，却经常会破坏组织的信息资产。这样的情况就要求组织把信息安全计划归入整个组织的资产保护计划中去，此外，信息安全技术并不能彻底完全的保护信息资产免受各类威胁的损害，对组织而言，更多的保护工做应该或只能经过管理上的手段来达到目的。所以，要成功实施一个安全计划，就必须确保组织中的每个人都理解和支持安全计划，这时，就须要使用安全策略(policy)、安全标准(standard)、安全底线(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段来帮助每个组织成员理解安全计划，并规范组织成员的行为。

     做为安全计划的负责人，组织的信息安全主管一般要负责制定和部署组织的安全策略、标准、指引和安全流程，而他经常会从IT部门中抽调人手进行这些安全文档的制定工做。IT技术背景有时能对信息安全主管理解安全计划的技术方面提供帮助，但过多的技术人员组成却会对安全主管理解组织的业务目标和战略形成困难。安全主管在安全文档的制定过程当中，也经常会从各类资料或咨询企业中寻求帮助，但从这些途径中所收集到的信息每每只能做为“怎么作”的参考，而不能回答“为何要这样作”。所以安全文档的制定和执行还须要安全主管如同进行风险分析和信息分级 项目那样，聚集来自组织各个部门的负责人员一块儿进行。

    另外，组织的运做经常还有法律法规方面的要求，这也须要反映到安全策略和流程中去，而法律法规规定了在组织的运做中，谁应该对什么负责和应该怎么作去知足组织的运做要求，这又引入了CISSP CBK中的另外几个重要概念：Duty of loyalty、Due Care和Due Diligence。
    Duty of loyalty主要是道德及法律上的要求，要求组织成员不该该利用本身所处地位及本身的优点去得到好处；    Due Care是要求组织的管理层应该诚实、审慎、对本身及组织负责；而Due Diligence则是要求组织的管理层必需要作的若干使组织符合法律法规、一致性、安全或程序上要求的事情，ISM CBK提供了Due Diligence的七个要点。根据J0ker的理解，Due Care主要是主观上须要，而Due Diligence则是客观上须要的。CISSP考试经常会考察Due Care 和Due Diligence的概念，或利用一个例子来让考生判断是Due Care仍是Due Diligence或其余什么概念，在复习时应该多留意一下这几个概念的具体内容和区别。

    说完了安全文档对安全计划的意义及相关的内容，咱们从新把注意力集中回这些文档自己上，先来看一下各文档的定义：

     Policy：一个组织级的信息安全策略包含了组织管理层对一个安全项目的目标、评价、责任等属性的指导，还定义了一个组织对信息安全的理解。信息安全策略是简短的，并不来自于技术或解决方案的，并为进一步的基于技术或解决方案的Standard（安全标准）等提供管理层的受权。另外若是组织规模较大，还会制定和部署部门级的安全策略文档，它和组织级的安全策略相相似，但也针对部门的职能进行了进一步的描述和规定。在Official Guide中有关于Policy的示例，有须要的朋友能够参考一下。
    Standard：安全标准是支持安全策略实施，并经过规定具体的标准和实施的方向来支持使安全策略能更为有效执行的文档，它规定了强制性的活动、行为、规则和制度等，一般会规定具体的技术手段、产品或解决方案等，并在组织内部总体实施。
    Baseline：安全底线和安全标准相相似，也是经过强制性的手段和规定来支持安全策略实施的文档，但安全底线和安全标准不一样的地方在于，安全标准更偏重于宏观上要达到或者要实现什么目的，而安全底线则是根据同一类型信息资产中不一样子类型的特色分别制定的强制规则，如组织客户端使用的操做系统包括Windows 2000、Windows XP和Windows 2003，要求全部的客户端系统都按照某个厂商某一个版本的反病毒软件，就是安全标准；而Windows 2000/XP/2003分别进行什么安全配置，则是安全底线。
    Guideline：安全指导是非强制性的，带有建议性质的安全文档，它经过建议组织及其成员，进行建议的行为或活动，来得到更高的安全级别，或对信息安全有更深刻了解。
    Procedure：安全流程是经过给组织及其成员提供在操做环境中切实可行并具体的每步操做流程和标准，以达到安全策略、安全标准和安全底线等文档规定要求的文档。

    在CISSP Official Guide中，还对每个安全文档都举出了简单的例子，并对它们进行了比较，建议有时间的朋友分别阅读一下，并仔细对比它们之间的联系和差异。J0ker作了一个图，简单的概括了这些安全文档的联系，图以下：

图1

     安全策略、标准、底线、指导和安全流程是确保组织中的每个成员都理解和遵照组织的安全计划，并完成制定的工做任务的关键元素。CISSP考试中一般会出与这些文档的定义有关的题目，朋友们在复习中能够多留意下这些知识点之间的联系和区别，并经过复习材料中的例子来记忆每一种文档的写法。

 

下篇预告：《Information Security Management(终)》，J0ker将介绍信息安全意识教育及部署方式这一信息安全管理的最后内容，并总结信息安全管理CBK所涉及到的知识点，敬请关注！