关于上周2个问题不是太懂,我也查了一些资料,对于第一个问题,我有了比较明确的答案:
2个问题是:
1,信息分级(如:机密、隐私、敏感、公开)和CIA什么关系啊?我一直觉得信息分类就是根据CIA中的C进行分级。还是说,信息分类,是根据CIA得出的结果进行的信息分级。
2,信息敏感性标识如何标记?我觉得硬件好标识,软件如何标识呢?
在《GBT 22081-2016信息安全管理实用规则》,对于信息的分级讲的比较清楚,从文中我们可以知道:
1)信息分级的目的:确保信息依据其对组织的重要程度受到适当水平的保护。
2)控制:信息宜按照法律要求、价值、重要性及其未授权泄露或修改的敏感性进行分级。
3)实施指南:(从实施指南中我们可以得出如下信息)
——信息分级由其所有者(owner)负责。
——要有分级方案,分级方案包括:分级规则和分级评审准则。
——从上述的红线部分,我们可以看出,信息分级是根据保密性、完整性、可用性等,也就是CIA的要求得出的,也就是信息的分级不是CIA中的C,而是根据CIA得出的结果进行的信息分级。
上述这段话进一步验证了,分级与CIA的关系。
——信息分级要清晰,以免产生误解。
文中还有了相关的分级方案的例子;
——其实在看的过程中,再次体会到,信息安全是一个不断反复进行的过程。就如文章中说的,分级结果宜根据资产在其生命周期中的价值、敏感性和重要性的变化进行更新。
到此第一个问题解决啦。
关于问题2,在文中也有对于信息标记的介绍,如下:
从上述话中,可以得出:
——信息标记要有规程;
——信息标记规程需要涵盖物理和电子格式的信息以及相关资产。也就是除了硬件,软件也要标记。
——标记宜易于识别,规程中要对标记的位置和方式给出指导。可以规定标记省略的情形。
——物理标签和元数据标签是最常见的形式。这个地方还是不太懂。物理标签什么样子的,元数据标签是什么样子。还要继续学习。
