在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家介紹了Information Classification的相關內容,作為使組織的安全計劃得以更有效進行的工具,Information Classification在安全計劃制定前期有不可替代的重要作用。完成風險分析和信息分級之后,安全計劃的下一步需要做什么?這便是本文將要介紹的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文檔的準備工作。
一個信息安全計劃的最終目標,就是要保護目標組織信息資產的完整性、保密性和可用性,而各種針對信息資產的威脅,諸如非授權訪問、篡改、毀壞和泄漏等,卻常常會破壞組織的信息資產。這樣的狀況就要求組織把信息安全計劃納入整個組織的資產保護計劃中去,此外,信息安全技術并不能完全徹底的保護信息資產免受各種威脅的損害,對組織而言,更多的保護工作應該或只能通過管理上的手段來達到目的。因此,要成功實施一個安全計劃,就必須確保組織中的每一個人都理解和支持安全計劃,這時,就需要使用安全策略(policy)、安全標準(standard)、安全底線(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段來幫助每一個組織成員理解安全計劃,并規范組織成員的行為。
作為安全計劃的負責人,組織的信息安全主管通常要負責制定和部署組織的安全策略、標準、指引和安全流程,而他常常會從IT部門中抽調人手進行這些安全文檔的制定工作。IT技術背景有時能對信息安全主管理解安全計劃的技術方面提供幫助,但過多的技術人員組成卻會對安全主管理解組織的業務目標和戰略造成困難。安全主管在安全文檔的制定過程中,也常常會從各種資料或咨詢企業中尋求幫助,但從這些途徑中所收集到的信息往往只能作為“怎么做”的參考,而不能回答“為什么要這樣做”。因此安全文檔的制定和執行還需要安全主管如同進行風險分析和信息分級 項目那樣,匯集來自組織各個部門的負責人員一起進行。
另外,組織的運作常常還有法律法規方面的要求,這也需要反映到安全策略和流程中去,而法律法規規定了在組織的運作中,誰應該對什么負責和應該怎么做去滿足組織的運作要求,這又引入了CISSP CBK中的另外幾個重要概念:Duty of loyalty、Due Care和Due Diligence。
Duty of loyalty主要是道德及法律上的要求,要求組織成員不應該利用自己所處地位及自己的優勢去獲得好處;
Due Care是要求組織的管理層應該誠實、審慎、對自己及組織負責;而Due Diligence則是要求組織的管理層必須要做的若干使組織符合法律法規、一致性、安全或程序上要求的事情,ISM CBK提供了Due Diligence的七個要點。
根據J0ker的理解,Due Care主要是主觀上需要,而Due Diligence則是客觀上需要的。CISSP考試常常會考察Due Care 和Due Diligence的概念,或利用一個例子來讓考生判斷是Due Care還是Due Diligence或其他什么概念,在復習時應該多留意一下這幾個概念的具體內容和區別。
說完了安全文檔對安全計劃的意義及相關的內容,我們重新把注意力集中回這些文檔本身上,先來看一下各文檔的定義:
Policy:一個組織級的信息安全策略包含了組織管理層對一個安全項目的目標、評價、責任等屬性的指導,還定義了一個組織對信息安全的理解。信息安全策略是簡短的,并不來自于技術或解決方案的,并為進一步的基于技術或解決方案的Standard(安全標準)等提供管理層的授權。另外如果組織規模較大,還會制定和部署部門級的安全策略文檔,它和組織級的安全策略相類似,但也針對部門的職能進行了進一步的描述和規定。在Official Guide中有關于Policy的示例,有需要的朋友可以參考一下。
Standard:安全標準是支持安全策略實施,并通過規定具體的標準和實施的方向來支持使安全策略能更為有效執行的文檔,它規定了強制性的活動、行為、規則和制度等,通常會規定具體的技術手段、產品或解決方案等,并在組織內部整體實施。
Baseline:安全底線和安全標準相類似,也是通過強制性的手段和規定來支持安全策略實施的文檔,但安全底線和安全標準不同的地方在于,安全標準更偏重于宏觀上要達到或者要實現什么目的,而安全底線則是根據同一類型信息資產中不同子類型的特點分別制定的強制規則,如組織客戶端使用的操作系統包括Windows 2000、Windows XP和Windows 2003,要求所有的客戶端系統都按照某個廠商某一個版本的反病毒軟件,就是安全標準;而Windows 2000/XP/2003分別進行什么安全配置,則是安全底線。
Guideline:安全指導是非強制性的,帶有建議性質的安全文檔,它通過建議組織及其成員,進行建議的行為或活動,來獲得更高的安全級別,或對信息安全有更深入了解。
Procedure:安全流程是通過給組織及其成員提供在操作環境中切實可行并具體的每步操作流程和標準,以達到安全策略、安全標準和安全底線等文檔規定要求的文檔。
在CISSP Official Guide中,還對每一個安全文檔都舉出了簡單的例子,并對它們進行了比較,建議有時間的朋友分別閱讀一下,并仔細對比它們之間的聯系和差別。J0ker做了一個圖,簡單的歸納了這些安全文檔的聯系,圖如下:
 |
| 圖1 |
安全策略、標準、底線、指導和安全流程是確保組織中的每一個成員都理解和遵守組織的安全計劃,并完成制定的工作任務的關鍵元素。CISSP考試中通常會出與這些文檔的定義有關的題目,朋友們在復習中可以多留意下這些知識點之間的聯系和區別,并通過復習材料中的例子來記憶每一種文檔的寫法。
下篇預告:《Information Security Management(終)》,J0ker將介紹信息安全意識教育及部署方式這一信息安全管理的最后內容,并總結信息安全管理CBK所涉及到的知識點,敬請關注!
