问题解答（一）

关于上周2个问题不是太懂，我也查了一些资料，对于第一个问题，我有了比较明确的答案：

2个问题是：

1，信息分级（如：机密、隐私、敏感、公开）和CIA什么关系啊？我一直觉得信息分类就是根据CIA中的C进行分级。还是说，信息分类，是根据CIA得出的结果进行的信息分级。

2，信息敏感性标识如何标记？我觉得硬件好标识，软件如何标识呢？

在《GBT 22081-2016信息安全管理实用规则》，对于信息的分级讲的比较清楚，从文中我们可以知道：

1）信息分级的目的：确保信息依据其对组织的重要程度受到适当水平的保护。

2）控制：信息宜按照法律要求、价值、重要性及其未授权泄露或修改的敏感性进行分级。

3）实施指南：（从实施指南中我们可以得出如下信息）

   ——信息分级由其所有者（owner）负责。

 ——要有分级方案，分级方案包括：分级规则和分级评审准则。

  ——从上述的红线部分，我们可以看出，信息分级是根据保密性、完整性、可用性等，也就是CIA的要求得出的，也就是信息的分级不是CIA中的C，而是根据CIA得出的结果进行的信息分级。

       上述这段话进一步验证了，分级与CIA的关系。

  ——信息分级要清晰，以免产生误解。

      文中还有了相关的分级方案的例子;

 ——其实在看的过程中，再次体会到，信息安全是一个不断反复进行的过程。就如文章中说的，分级结果宜根据资产在其生命周期中的价值、敏感性和重要性的变化进行更新。

到此第一个问题解决啦。

关于问题2，在文中也有对于信息标记的介绍，如下：

从上述话中，可以得出：

——信息标记要有规程；

——信息标记规程需要涵盖物理和电子格式的信息以及相关资产。也就是除了硬件，软件也要标记。

——标记宜易于识别，规程中要对标记的位置和方式给出指导。可以规定标记省略的情形。

——物理标签和元数据标签是最常见的形式。这个地方还是不太懂。物理标签什么样子的，元数据标签是什么样子。还要继续学习。