乙個資訊保安計畫的最終目標,就是要保護目標組織資訊資產的完整性、保密性和可用性,而各種針對資訊資產的威脅,諸如非授權訪問、篡改、毀壞和洩漏等,卻經常會破壞組織的資訊資產。這樣的狀況就要求組織把資訊保安計畫納入整個組織的資產保護計畫中去,此外,資訊保安技術並不能完全徹底的保護資訊資產免受各種威脅的損害,對組織而言,更多的保護工作應該或只能通過治理上的手段來達到目的。因此,要成功實施乙個安全計畫,就必須確保組織中的每乙個人都理解和支援安全計畫,這時,就需要使用安全策略(policy)、安全標準(standard)、安全底線(baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全治理手段來幫助每乙個組織成員理解安全計畫,並規範組織成員的行為。
另外,組織的運作經常還有法律法規方面的要求,這也需要反映到安全策略和流程中去,而法律法規規定了在組織的運作中,誰應該對什麼負責和應該怎麼做去滿足組織的運作要求,這又引入了cissp cbk中的另外幾個重要概念:duty of loyalty、due care和due diligence。
duty of loyalty主要是道德及法律上的要求,要求組織成員不應該利用自己所處地位及自己的優勢去獲得好處;
due care是要求組織的治理層應該老實、審慎、對自己及組織負責;而due diligence則是要求組織的治理層必須要做的若干使組織符合法律法規、一致性、安全或程式上要求的事情,ism cbk提供了due diligence的七個要點。
根據j0ker的理解,due care主要是主觀上需要,而due diligence則是客觀上需要的。cissp考試經常會考察due care 和due diligence的概念,或利用乙個例子來讓考生判定是due care還是due diligence或其他什麼概念,在複習時應該多留意一下這幾個概念的具體內容和區別。
policy:乙個組織級的資訊保安策略包含了組織治理層對乙個安全專案的目標、評價、責任等屬性的指導,還定義了乙個組織對資訊保安的理解。資訊保安策略是簡短的,並不來自於技術或解決方案的,並為進一步的基於技術或解決方案的standard(安全標準)等提供治理層的授權。另外假如組織規模較大,還會制定和部署部門級的安全策略文件,它和組織級的安全策略相類似,但也針對部門的職能進行了進一步的描述和規定。在official guide中有關於policy的示例,有需要的朋友可以參考一下。
standard:安全標準是支援安全策略實施,並通過規定具體的標準和實施的方向來支援使安全策略能更為有效執行的文件,它規定了強制性的活動、行為、規則和制度等,通常會規定具體的技術手段、產品或解決方案等,並在組織內部整體實施。
baseline:安全底線和安全標準相類似,也是通過強制性的手段和規定來支援安全策略實施的文件,但安全底線和安全標準不同的地方在於,安全標準更偏重於巨集觀上要達到或者要實現什麼目的,而安全底線則是根據同一型別資訊資產中不同子型別的特點分別制定的強制規則,如組織客戶端使用的作業系統包括windows 2000、windows xp和windows 2003,要求所有的客戶端系統都按照某個廠商某乙個版本的反病毒軟體,就是安全標準;而windows 2000/xp/2003分別進行什麼安全配置,則是安全底線。
guideline:安全指導是非強制性的,帶有建議性質的安全文件,它通過建議組織及其成員,進行建議的行為或活動,來獲得更高的安全級別,或對資訊保安有更深入了解。
procedure:安全流程是通過給組織及其成員提供在操作環境中切實可行並具體的每步操作流程和標準,以達到安全策略、安全標準和安全底線等文件規定要求的文件。
在cissp official guide中,還對每乙個安全文件都舉出了簡單的例子,並對它們進行了比較,建議有時間的朋友分別閱讀一下,並仔細對比它們之間的聯絡和差別。j0ker做了乙個圖,簡單的歸納了這些安全文件的聯絡,圖如下:
圖1安全策略、標準、底線、指導和安全流程是確保組織中的每乙個成員都理解和遵守組織的安全計畫,並完成制定的工作任務的要害元素。cissp考試中通常會出與這些文件的定義有關的題目,朋友們在複習中可以多留意下這些知識點之間的聯絡和區別,並通過複習材料中的例子來記憶每一種文件的寫法。
CISSP的成長之路(十六) 複習訪問控制(1)
j0ker給大家介紹了cissp知識體系中的第二個cbk系統 安全架構和設計。接下來的8個cbk裡,我們將進入cissp知識體系中更為具體的部分,它們也都更多的從技術層面來講述如何使用各種安全方法和安全技術來實現資訊保安目標 保密性 完整性和可用性。訪問控制 access control 是ciss...
CISSP的成長之路(十六) 複習訪問控制(1)
訪問控制 access control 是cissp知識體系中的第三個cbk,它的內容包括如何使用多種系統提供的安全功能來控制對組織的資訊和資料處理資源的訪問,這些訪問控制措施通過管理 物理和邏輯控制的手段,我們可以從第乙個cbk 資訊保安管理裡面中了解到它們的實施原則,我們來逐一了解下這三類手段的...
我的CISSP備考之路
備考近半年,當完成長達6個小時的考試,走出考場從工作人員手中接過成績單,看到已通過的那一刻,我欣喜若狂。考試結束後的一周,在這裡對自己的學習過程做個覆盤,總結一下自己走過的彎路,分享一點備考經驗。首先介紹一下cissp,全稱是certified information system security...