認證項目

質(zhì)量體系認證

產(chǎn)品體系認證

▍新聞中心

ISMS有效性測量淺析

隨著各界對信息安全管理重視程度的加強，越來越多的組織依據(jù)ISO 27001標準來建立自身的信息安全管理體系(ISMS)，對于ISMS的建立的過程和方法已經(jīng)有很多的資料可以參考，然而對ISMS的有效性進行測量則是一個比較新的課題。

　　一、為什么需要對ISMS進行有效性測量?

　　為什么要對ISMS的有效性進行測量呢?換句話說，進行ISMS有效性測量的意義及價值是什么，下面從以下幾個角度來評述。

　　1. 對信息安全管理目標的考核

　　組織在建立ISMS時都會依據(jù)組織業(yè)務的發(fā)展、各利益相關(guān)方安全要求及組織的信息安全管理水平等，來設(shè)定自身信息安全管理的目標，通過有效性測量，不但可以很好的對信息安全目標達到的程度進行考核，準確的衡量ISMS的績效，而且還能夠為管理層對信息安全管理的資源投入提供數(shù)據(jù)依據(jù)。

　　2. ISMS持續(xù)改進的重要依據(jù)

　　在建立ISMS時，通常都會進行風險評估及風險處理措施的實施，如果不進行有效行測量，就不能反映出當前組織的各安全措施的效果如何，即無法表現(xiàn)出信息安全的改進在哪些方面。通過有效性測量，能夠更充分的反映出當前組織的信息安全存在問題及問題的嚴重程度，為今后的信息安全的工作重點提供有力的依據(jù)。

　　3. 信息安全管理工作的績效考核

　　有效性測量結(jié)果不僅是衡量ISMS績效的重要標準，也是對信息安全管理組織工作績效的一個有利的側(cè)面展示，通過有效性測量的數(shù)據(jù)，不但可以使管理者清晰的了解信息安全管理工作，而且還能增強信息安全管理工作人員的信心。

　　4. 滿足標準(ISO 27001)的符合性要求

　　眾所周知，ISO 27001標準中明確要求組織定義測量體系，并實施之獲得數(shù)據(jù)，衡量所實施ISMS的有效性。通過ISMS有效性測量工作，不僅僅充分的滿足了標準的要求，而且是推動ISMS持續(xù)改進的動力。

　　二、進行有效性測量需要注意什么?

　　在對ISMS進行有效性測量的時候，我們應該遵循什么樣的原則呢?我認為只要遵循“有依據(jù)、可操作、能比較”這三點原則，那么設(shè)計出來的有效性測量體系就是比較好的。這三點原則說明如下：

　　1) 有依據(jù)：有效性測量的過程中，不是為了測量而測量，不是為了標準而測量，各項指標的設(shè)定一定要有理有據(jù)，每個測量的指標都應當能夠具體反映出ISMS的運行狀態(tài)。

　　2) 可操作：一個不能操作的測量指標體系是沒有意義的，所以有效性測量指標體系一定是清晰、明確，具體可操作的，而同時又是容易收集、不能花費太大的成本的，否則設(shè)計再好的測量指標體系都無法真正的貫徹執(zhí)行。

　　3) 能比較：有效性測量的結(jié)果一定是可比較的，可以通過量化的數(shù)值、圖形化的參考來展現(xiàn)測量的結(jié)果，這樣能夠清晰、直觀的觀察到ISMS的狀態(tài)趨勢。

　　三、如何進行有效性測量體系的設(shè)計?

　　前面談到了進行有效性測量的必要性以及建立測量指標體系的原則，那么如何建立一個有效性測量的體系呢?下面結(jié)合ISMS建設(shè)的PDCA四個階段來做一個說明各階段的重要活動。

　　1. ISMS的Plan策劃階段

　　隨著整個ISMS的策劃，有效性測量的工作其實已經(jīng)可以開展，這個階段主要是收集有效性測量的需求，為有效性測量提供輸入，是進行有效性測量指標體系設(shè)計的基礎(chǔ)。具體的活動如下：

　　1) ISMS目標建立：有效性測量一定要與組織的業(yè)務目標相關(guān)，是為了組織的核心業(yè)務目標而測量的，這是進行有效性測量的第一要點。在ISMS策劃階段建立組織ISMS的業(yè)務目標時，一定使ISMS的目標能夠反映組織的業(yè)務目標，并且這個目標需要遵守SMART原則，即要具體(Specific)，可量化(Measurable)，可達成(Achievable or Attainable)，現(xiàn)實的(Realistic)，并且有限定的時間期限(Timely)。

　　2) 利害相關(guān)方關(guān)注收集：在ISMS的策劃階段，可以收集各利害相關(guān)人的關(guān)注點，比如：客戶的信息安全關(guān)注點、股東或高層的信息安全關(guān)注點、上級或監(jiān)管機構(gòu)的信息安全關(guān)注點等，這些都是建設(shè)ISMS的重要信息輸入，同時也是有效性測量的重點關(guān)注內(nèi)容。

　　3) 歷年安全事件的總結(jié)：信息安全事件的頻次，能夠在一定程度上反映出組織信息安全的薄弱環(huán)節(jié)，這些高頻次的安全事件可作為有效性測量的一個重點，來跟蹤驗證針對信息安全事件的安全措施是否有效。如以往病毒發(fā)作的安全事件比較高，那么可以將病毒的發(fā)作次數(shù)、病毒軟件的安裝率、操作系統(tǒng)的補丁更新率作為有效性測量的指標來進行測量，以反映出防病毒控制措施的有效性。

　　4) 信息安全高風險歸納：在策劃階段進行風險評估中的信息安全高風險，是需要組織必須要處理的，而且這些高風險同時是需要被重點跟蹤的，因此所有的信息安全高風險必須能夠反映到有效性測量的指標體系中去，來驗證信息安全高風險的控制措施是否有效。

　　按照上面所講的方面進行有效性測量的需求信息收集，來為有效性測量提供有力的輸入信息，這樣在進行有效性測量指標的設(shè)計時，就能夠做到有理有據(jù)。

　　2. ISMS的Do運作階段

　　在ISMS的運作階段，需要對有效性測量體系進行詳細的設(shè)計，主要是解決測量什么、如何測量、測量結(jié)果如何展示的問題。我們從以下幾個方面進行分析：

　　1) 分析有效性測量需求：對于策劃階段的各類有效性測量的輸入進行歸納整理，在這個基礎(chǔ)上還可以考慮加入一些其它方面的只要指標，比如ISMS的重要活動、信息安全管理的日常操作等，這些方面統(tǒng)一分析整理，最終得出一套需要進行測量的重要指標。

　　2) 有效性測量指標分解：對歸納出來的各項重要指標做進一步分解，對應到ISMS的各項具體度量項，并為每項設(shè)定度量目標的閥值。

　　3) 測量指標采集方案設(shè)計：測量指標采集方案的設(shè)計是將各項指標如何測量進行定義，包括測量指標的計算方法、指標采集頻度、測量責任人及采集方式等。測量方案一定要具體可行，指標采集頻度可以根據(jù)不同的指標區(qū)別對待，在制定責任人時應盡量避免由操作者直接測量自己工作的指標。

　　4) 有效性測量指標的記錄：按照測量指標采集方案的頻率進行檢查，并且按照時間線進行記錄，記錄的數(shù)據(jù)應客觀準確，這樣才能真正的反映問題。

　　在此階段的過程中，測量指標的選取是一個重點，同時也是一個難點，不能測量的指標過少，但同時也沒有比較所有的控制點全部進行測量，下面是一個測量指標分類的參考，可根據(jù)實際情況選取一些關(guān)鍵的指標進行度量。

　　- 管理控制措施：如安全目標、安全意識等方面;

　　- 業(yè)務流程：如風險評估和處理、選擇控制措施等;

　　- 運營措施：如備份、防范惡意代碼、存儲介質(zhì)等方面;

　　- 技術(shù)控制措施：如防火墻、入侵檢測、補丁管理等;

　　- 審核、回顧和測試：如內(nèi)審、外審、技術(shù)符合性檢查等。

　　3. ISMS的Check控制階段

　　在ISMS的控制階段，需要做的事情有兩個方面，一是根據(jù)有效性測量的結(jié)果對ISMS進行評價，另外一個需要對有效性測量體系進行評價，兩方面的工作具體來說為：

　　1) 評價ISMS運作：體系管理組根據(jù)指標分解的層次，對指標進行計算、整合及分析，檢查各層次指標是否滿足目標要求，并對整體狀況進行評估，得出ISMS做的好的方面以及需要改進的方面。

　　2) 評價測量指標：根據(jù)測量、分析結(jié)果，評價有效性測量體系的貢獻，并從中找到需要改進的區(qū)域，調(diào)整測量指標體系，為ISMS有效性的測量更好的提供服務。

　　4. ISMS的Act改進階段

　　在ISMS的改進階段，基于控制階段的分析，對ISMS及測量指標體系分別進行改進，使之鞥好的為ISMS服務。

　　四、總結(jié)

　　有句話叫“你不能改進你不能測量的東西”，這充分說明了有效性測量的重要性，希望能夠通過有效性測量為ISMS的建設(shè)提供更好的服務，希望ISMS為組織業(yè)務創(chuàng)造更高的價值。