【正文】 S） 20（ H） 25（ H） 4，很可能 4（ L） 8（ M） 12（ S） 16（ S） 20（ H） 3，有可能 3（ L） 6（ M） 9（ M） 12（ S） 15（ S） 2，不太可能 2（ L） 4（ L） 6（ M） 8（ M） 10（ M） 1，很罕見 1（ L） 2（ L） 3（ L） 4（ L） 5（ L） 3（ ） 策略、標(biāo)準(zhǔn)、基線、指南和流程 Policies, Standards, Baselines, Guidelines, and Procedures 方針 Policy 程序 Procedure 標(biāo)準(zhǔn) Standard 強(qiáng)制性 指南 Guideline 建議性 基線 Baseline 最低標(biāo)準(zhǔn) 目標(biāo)要求 具體步驟 實(shí)現(xiàn)方法 戰(zhàn)略層次 戰(zhàn)術(shù)層次 策略、標(biāo)準(zhǔn)、基線、指南和流程 Policies, Standards, Baselines, Guidelines, and Procedures ? 方針 —— 處于策略鏈的最高層次，它是由組織的高級管理層發(fā)布的、關(guān)于信息安全最一般性的聲明。方針應(yīng)該代表著高級管理層對信息安全承擔(dān)責(zé)任的一種承諾。一旦發(fā)布，要求組織成員必須遵守。方針的實(shí)施要依靠標(biāo)準(zhǔn)、指南和程序。 ? 標(biāo)準(zhǔn) —— 標(biāo)準(zhǔn)規(guī)定了在組織范圍內(nèi)強(qiáng)制執(zhí)行的對特定技術(shù)和方法的使用。標(biāo)準(zhǔn)起著驅(qū)動方針的作用，標(biāo)準(zhǔn)可以用來建立方針執(zhí)行的強(qiáng)制機(jī)制。 ? 指南 —— 類似于標(biāo)準(zhǔn)，也是關(guān)于加強(qiáng)系統(tǒng)安全的方法，但它是建議性的。指南比標(biāo)準(zhǔn)更靈活，考慮到了不同信息系統(tǒng)的特點(diǎn)。指南也可用來規(guī)定標(biāo)準(zhǔn)的的開發(fā)方式，或者保證對一般性安全原則的遵守。彩虹系列、 CC、 BS7799等，都可以看作是此類。 ? 基線 —— 基線建立的是滿足方針要求的最低級別的安全需要。在建立信息安全整體框架之前，基線是需要考慮的最低標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的開發(fā)通常都是以基線為基礎(chǔ)的，基線可以看作是抽象的簡單化的標(biāo)準(zhǔn)。大多數(shù)基線都是很具體的，或者與系統(tǒng)相關(guān)，或者是陳述某種配臵。 ? 程序 —— 是執(zhí)行特定任務(wù)的詳細(xì)步驟。位于策略鏈的最低層次，是實(shí)現(xiàn)方針、標(biāo)準(zhǔn)和指南的詳細(xì)步驟 策略的種類 ? 規(guī)章性策略 ? 用于確保組織機(jī)構(gòu)遵守特定的行業(yè)規(guī)章建立的標(biāo)準(zhǔn) ? 建議性策略 ? 強(qiáng)烈推薦雇員在組織機(jī)構(gòu)中應(yīng)該采取的某些行為和活動 ? 指示性策略 ? 告知雇員相關(guān)信息 信息分級（ Information Classification ） ? 并不是所有的數(shù)據(jù)都有相同的價值，不同數(shù)據(jù)的敏感程度也不同，組織需要判斷應(yīng)該投入多少資金和資源去保護(hù)不同的數(shù)據(jù) ? 為此，通過數(shù)據(jù)分類，識別最敏感最關(guān)鍵的數(shù)據(jù)，從而對應(yīng)選擇保護(hù)措施，確保對 cel各類數(shù)據(jù)的保護(hù)達(dá)到合適的水平 ? 數(shù)據(jù)分類能夠宣示組織在信息安全保護(hù)方面所做的承諾 ? 通過數(shù)據(jù)分類和實(shí)施恰當(dāng)?shù)谋Ｗo(hù)，可以保證信息資產(chǎn)的 CIA ? 政府機(jī)構(gòu)沿用數(shù)據(jù)分類已經(jīng)很久，但主要強(qiáng)調(diào)保密性，側(cè)重于防泄密 ? 數(shù)據(jù)分類也是符合隱私或數(shù)據(jù)保護(hù)相關(guān)法律的必要活動 ? 識別信息對篡改的敏感度： ? 以便將注意力集中在完整性控制上 ? 識別需要保護(hù)的機(jī)密性信息的敏感度： ? 理解信息的價值 ? 滿足法律要求 信息分級 ? 根據(jù)信息的用途、價值、敏感程度等屬性的不同，將信息分為不同的級別和類別，制定針對不同級別和類別的信息安全保護(hù)辦法，這樣在工作中只要正確標(biāo)定和執(zhí)行相關(guān)的保護(hù)措施，就可以比較方便、有效地保障信息的安全 ? 傳統(tǒng)上，政府和軍方比較關(guān)注信息的保密性，通常把信息分為絕密（ Top Secret）、機(jī)密（ Secret）、保密（ Confidential）、敏感非保密（ Sensitive But Unclassified）、非保密（ Unclassified） ? 民間機(jī)構(gòu)對隱私保護(hù)、完整性、可用性要求比較突出，可以把信息分為保密（ Confidential）、私密（ Private）、敏感（ Sensitive）、公開（ Public） ? 信息資產(chǎn)應(yīng)由其擁有者（ Owner）負(fù)責(zé)確定其保護(hù)級別，由保管者（ Custodian）和使用者（ User）應(yīng)遵循與級別相關(guān)的保護(hù)要求和措施 政府機(jī)構(gòu)數(shù)據(jù)分類方案示例 類別 描述 絕密（ Top Secret） 絕密信息的泄漏會對國家安全造成極大的破壞。在美國，此等級對應(yīng)的只有總統(tǒng)。 秘密（ Secret） 泄漏秘密的數(shù)據(jù)會給國家安全造成嚴(yán)重?fù)p害，只是這些信息的敏感程度不如絕密數(shù)據(jù)那么大。 機(jī)密（ Confidential） 通常指那些受法律保護(hù)不得泄漏的數(shù)據(jù)，例如美國的信息自由法，但此類數(shù)據(jù)并不屬國家安全數(shù)據(jù)。 敏感但非常（ Sensitive But Unclassified， SBU） SBU數(shù)據(jù)對國家安全并不重要，但泄漏這些數(shù)據(jù)可能會帶來某些危害。許多機(jī)構(gòu)將其得到的公民數(shù)據(jù)歸類為 SBU，例如保健信息。 非密（ Unclassified） 沒有進(jìn)行分類或并不敏感的數(shù)據(jù)。此類數(shù)據(jù)的公開發(fā)布并不影響保密性。 商業(yè)機(jī)構(gòu)數(shù)據(jù)分類方案示例 類別 描述 機(jī)密（ Confidential） 非常敏感，只應(yīng)內(nèi)部使用。未授權(quán)泄漏將對公司造成嚴(yán)重的、負(fù)面的影響。例如，有關(guān)新產(chǎn)品開發(fā)的信息，商業(yè)秘密，合并談判等。 私秘（ Private） 與個人相關(guān)的信息，只應(yīng)被公司使用。其泄漏可能對公司或其職員造成消極影響。例如，薪資和醫(yī)療信息。 敏感（ Sensitive） 此類信息要求比正常數(shù)據(jù)具有更高的分類等級。要求具有高度的完整性和保密性。 公共（ Public） 類似未分類信息。所有并不適合上述類別的公司信息都?xì)w為此類。公共數(shù)據(jù)是最不敏感的數(shù)據(jù)，如果泄漏，不會對公司造成嚴(yán)重或者消極影響。 三級數(shù)據(jù)分類方案示例 類別 描述（強(qiáng)調(diào)保密性） 機(jī)密（ Confidential） 最敏感的，應(yīng)遵循 needtoknow原則 內(nèi)部使用（ Internal use only） 在內(nèi)部傳播是安全的，但不能對外泄漏 公共（ Public） 公開泄漏也沒關(guān)系 類別 描述（強(qiáng)調(diào)完整性和可用性） 高（ High） 如果信息遭受破壞，可能帶來人身傷亡、嚴(yán)重的經(jīng)濟(jì)損失或刑罰 中（ Medium） 如果信息遭受破壞，會帶來顯著地經(jīng)濟(jì)損失 低（ Low） 如果信息遭受破壞，只會造成輕微的損失，需要最少的管理措施來予以糾正 數(shù)據(jù)分類標(biāo)準(zhǔn) ? 價值（ Value）：價值是最通常的數(shù)據(jù)分類標(biāo)準(zhǔn)，如果信息對一個組織或者其競爭對手有價值，就需要分類 ? 壽命（ Age）：隨著時間的推移，信息價值會降低，其分類也會降低。例如，政府部門，某些分類檔案會在預(yù)定的時間期限過后自動解除分類 ? 使用 期（ Useful Life）：如果由于新信息的替代、公司發(fā)生的真實(shí)變化或者其他原因，信息過時了，可以對其解除分類 ? 人員 關(guān)聯(lián)（ Personal Association）：如果信息與特定個人相關(guān)，或者是法律（比如隱私法）、規(guī)章和責(zé)任要求中指出的，需要分類。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類 數(shù)據(jù)分類相關(guān)角色和責(zé)任 ? 屬主（ Owner）： ? 信息屬主可能是組織的某個決策者或者管理者，或者部門負(fù)責(zé)人，或者是信息的創(chuàng)建者，對必須保護(hù)的信息資產(chǎn)負(fù)責(zé)，承擔(dān)著“ due care”的責(zé)任，但日常的數(shù)據(jù)保護(hù)工作則由保管者承擔(dān)。信息屬主的責(zé)任在于： ? 基于業(yè)務(wù) 需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護(hù)任務(wù)的責(zé)任 ? 保管 者（ Custodian） : ? 受信息屬 主委托而負(fù)責(zé)保護(hù)信息，通常由 IT系統(tǒng)人員來承擔(dān)，其職責(zé)包括： ? 定期 備份，測試備份數(shù)據(jù)的有效性；必要時對數(shù)據(jù)進(jìn)行恢復(fù)；根據(jù)既定的信息分類策略，維護(hù)保留下來的記錄 ? 用戶（ User）： ? 任何 在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費(fèi)者，應(yīng)該注意： ? 用戶 必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護(hù)信息安全的責(zé)任；用戶必須只將公司的計算資源用作公司目的，不能做個人使用 分級控制 ? 數(shù)據(jù)分級措施 ? 定義分級級別 ? 指定確定如何分類數(shù)據(jù)的準(zhǔn)則 ? 由數(shù)據(jù)所有者指明負(fù)責(zé)的數(shù)據(jù)的分類 ? 任命負(fù)責(zé)維護(hù)數(shù)據(jù)及其安全級別的數(shù)據(jù)管理員 ? 制定每種分類級別所需的安全控制或保護(hù)機(jī)制 ? 記錄上述分類問題的例外情況 ? 說明可用于將信息保管轉(zhuǎn)交給其他數(shù)據(jù)所有者的方法 ? 建立一個定期審查信息分類和所有權(quán)的措施。向數(shù)據(jù)管理員通報任何變更 ? 指明信息解密措施 ? 將這些安全問題綜合為安全意識計劃，讓所有員工都了解如何處理不同分類級別的數(shù)據(jù) 分類數(shù)據(jù)對外分發(fā) ? 分類信息往往需要對外分發(fā)，隨即帶來的隱患應(yīng)該引起注意。以下是一些需要對外分類信息進(jìn)行分發(fā)的例子： ? 法律 程序：為了遵守某些法律程序，分類信息可能需要泄漏出來 ? 政府 合同：政府訂約人可能需要根據(jù)與政府項(xiàng)目相關(guān)的采購協(xié)議而泄漏分類信息 ? 高層批準(zhǔn)：高級決策層可能授權(quán)向外部實(shí)體或組織發(fā)布分類信息，此類發(fā)布可能要求外部伙伴簽署保密協(xié)議 責(zé)任分層（ Layers of Responsibility） ? 董事會（ Board of Directors） ? 董事會由企業(yè)股東選出的一組人員組成，負(fù)責(zé)監(jiān)督企業(yè)憲章的執(zhí)行情況。成立董事會的是為了確保股東的利益得到保護(hù)，并且企業(yè)能夠平穩(wěn)運(yùn)行。董事會成員應(yīng)該是沒有偏見的獨(dú)立個人，他們負(fù)責(zé)監(jiān)督行政人員在管理公司方面的表現(xiàn)。 ? 執(zhí)行管理層（ Executive Management） ? 執(zhí)行管理層由頭銜以字母 C開頭的個人組成 ? CEO通常由董事會主席擔(dān)任，是公司內(nèi)地位最高的人。擔(dān)任這個角色的人負(fù)責(zé)從宏觀絕度監(jiān)督公司的財務(wù)、戰(zhàn)略規(guī)劃和運(yùn)營。 ? CFO（ chief financial officer，首席財務(wù)官）負(fù)責(zé)公司的賬目和財務(wù)活動以及組織機(jī)構(gòu)的總體財務(wù)結(jié)構(gòu)。他負(fù)責(zé)決定組織機(jī)構(gòu)的財務(wù)需求，以及如何為這些需求提供資金。 執(zhí)行管理層 ? CIO（ Chief Information Officer，首席信息官） ? 處于公司組織結(jié)構(gòu)的較低層。根據(jù)企業(yè)結(jié)構(gòu)，他們負(fù)責(zé)向 CEO或CFO上報，并且負(fù)責(zé)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)和技術(shù)的戰(zhàn)略使用與管理。 ? 越來越多的組織機(jī)構(gòu)要求 CIO進(jìn)入高級管理層。 ? CIO的職責(zé)已經(jīng)擴(kuò)展到在業(yè)務(wù)流程管理、收入來源以及如何利用公司的內(nèi)在技術(shù)實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略方面與 CEO（和其他管理層）進(jìn)行合作