分類
CISSP

資產分類準則(asset classification guideline)

https://ithelp.ithome.com.tw/upload/images/20210330/201321609rb1sAudz9.jpg
分類方案適用於整個組織。RD負責人定義一個是不合適的。此外,由於發布了資產分類準則,這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值,並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制(MAC)通常在政府部門中實施;很少或一些私營企業可以實施它。但是,在Windows Vista和更高版本中,Microsoft提供了強製完整性控制(MIC),這是一種強制實施完整性的MAC實現,其中,所有主題和對像都具有MIC標籤,如下圖所示。
https://ithelp.ithome.com.tw/upload/images/20210330/201321602KnXCPJEcN.jpg
-Windows 10中的強製完整性控制(來源:Windows Club
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於(組,類別,層,或水平)的標準,如法律或法規的要求,靈敏度,臨界,衝擊,或商業價值來確定其保護要求。一個分類方案指的是名為類標準,並用於分類程序“。(Wentz Wu,有效的CISSP:安全和風險管理)第12356號行政命令是機密性分類方案的一個很好的例子。

12356號行政命令
第1.1節分類級別。
(a)國家安全信息(以下稱“機密信息”)應分為以下三個級別之一:
(1)“最高機密”應應用於信息,未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
(2)“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
(3)“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。

參考
有效的CISSP:安全和風險管理
第12356號行政命令–國家安全信息
Windows 10中的強製完整性控制

資料來源: Wentz Wu QOTD-20210214

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。