隨著各界對(duì)信息安全管理重視程度的加強(qiáng),，越來越多的組織依據(jù)ISO27001標(biāo)準(zhǔn)來建立自身的信息安全管理體系(ISMS),，對(duì)ISMS有效性如何進(jìn)行測量，本文分享一些知識(shí)和經(jīng)驗(yàn),。

　　一,、為什么需要進(jìn)行有效性測量?

　　我們?yōu)槭裁匆獙?duì)ISMS的有效性進(jìn)行測量呢?換句話說，進(jìn)行ISMS有效性測量的意義及價(jià)值是什么,，我們從以下幾個(gè)角度來評(píng)述,。

　　1）對(duì)信息安全管理目標(biāo)的考核

　　組織在建立ISMS時(shí)都會(huì)依據(jù)組織業(yè)務(wù)的發(fā)展、各利益相關(guān)方安全要求及組織的信息安全管理水平等,，來設(shè)定自身信息安全管理的目標(biāo),，通過有效性測量，不但可以很好的對(duì)信息安全目標(biāo)達(dá)到的程度進(jìn)行考核,，準(zhǔn)確的衡量ISMS的績效,，而且還能夠?yàn)楣芾韺訉?duì)信息安全管理的資源投入提供數(shù)據(jù)依據(jù)。

　　2.）ISMS持續(xù)改進(jìn)的重要依據(jù)

　　在建立ISMS時(shí),，通常都會(huì)進(jìn)行風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)處理措施的實(shí)施,，如果不進(jìn)行有效行測量，就不能反映出當(dāng)前組織的各安全措施的效果如何,，即無法表現(xiàn)出信息安全的改進(jìn)在哪些方面,。通過有效性測量，能夠更充分的反映出當(dāng)前組織的信息安全存在問題及問題的嚴(yán)重程度,，為今后的信息安全的工作重點(diǎn)提供有力的依據(jù),。

　　3）信息安全管理工作的績效考核

　　有效性測量結(jié)果不僅是衡量ISMS績效的重要標(biāo)準(zhǔn)，也是對(duì)信息安全管理組織工作績效的一個(gè)有利的側(cè)面展示,，通過有效性測量的數(shù)據(jù),，不但可以使管理者清晰的了解信息安全管理工作，而且還能增強(qiáng)信息安全管理工作人員的信心,。

　　4）滿足標(biāo)準(zhǔn)(ISO27001)的符合性要求

　　眾所周知,，ISO27001標(biāo)準(zhǔn)中明確要求組織定義測量體系，并實(shí)施之獲得數(shù)據(jù),，衡量所實(shí)施ISMS的有效性,。通過ISMS有效性測量工作，不僅僅充分的滿足了標(biāo)準(zhǔn)的要求,，而且是推動(dòng)ISMS持續(xù)改進(jìn)的動(dòng)力,。

　　二、進(jìn)行有效性測量需要注意什么?

　　在對(duì)ISMS進(jìn)行有效性測量的時(shí)候，我們應(yīng)該遵循什么樣的原則呢?我認(rèn)為只要遵循“有依據(jù),、可操作,、能比較”這三點(diǎn)原則，那么設(shè)計(jì)出來的有效性測量體系就是比較好的,。這三點(diǎn)原則說明如下：

　　1) 有依據(jù)：有效性測量的過程中,，不是為了測量而測量，不是為了標(biāo)準(zhǔn)而測量,，各項(xiàng)指標(biāo)的設(shè)定一定要有理有據(jù),，每個(gè)測量的指標(biāo)都應(yīng)當(dāng)能夠具體反映出ISMS的運(yùn)行狀態(tài)。

　　2) 可操作：一個(gè)不能操作的測量指標(biāo)體系是沒有意義的,，所以有效性測量指標(biāo)體系一定是清晰,、明確，具體可操作的,，而同時(shí)又是容易收集,、不能花費(fèi)太大的成本的，否則設(shè)計(jì)再好的測量指標(biāo)體系都無法真正的貫徹執(zhí)行,。

　　3) 能比較：有效性測量的結(jié)果一定是可比較的,，可以通過量化的數(shù)值、圖形化的參考來展現(xiàn)測量的結(jié)果,，這樣能夠清晰,、直觀的觀察到ISMS的狀態(tài)趨勢。

　　三,、如何進(jìn)行有效性測量體系的設(shè)計(jì)?

　　前面我們談到了進(jìn)行有效性測量的必要性以及建立測量指標(biāo)體系的原則,，那么如何建立一個(gè)有效性測量的體系呢?下面我結(jié)合ISMS建設(shè)的PDCA四個(gè)階段來做一個(gè)說明各階段的重要活動(dòng)。

　　1,、ISMS的Plan策劃階段

　　隨著整個(gè)ISMS的策劃,，有效性測量的工作其實(shí)已經(jīng)可以開展，這個(gè)階段主要是收集有效性測量的需求,，為有效性測量提供輸入,，是進(jìn)行有效性測量指標(biāo)體系設(shè)計(jì)的基礎(chǔ)。具體的活動(dòng)如下：

　　1) ISMS目標(biāo)建立：有效性測量一定要與組織的業(yè)務(wù)目標(biāo)相關(guān),，是為了組織的核心業(yè)務(wù)目標(biāo)而測量的,，這是進(jìn)行有效性測量的第一要點(diǎn),。在ISMS策劃階段建立組織ISMS的業(yè)務(wù)目標(biāo)時(shí),，一定使ISMS的目標(biāo)能夠反映組織的業(yè)務(wù)目標(biāo)，并且這個(gè)目標(biāo)需要遵守SMART原則,，即要具體(Specific),，可量化(Measurable)，?可達(dá)成(Achievable or Attainable)，現(xiàn)實(shí)的(Realistic),，并且有限定的時(shí)間期限(Timely),。

　　2) 利害相關(guān)方關(guān)注收集：在ISMS的策劃階段，可以收集各利害相關(guān)人的關(guān)注點(diǎn),，比如：客戶的信息安全關(guān)注點(diǎn),、股東或高層的信息安全關(guān)注點(diǎn)、上級(jí)或監(jiān)管機(jī)構(gòu)的信息安全關(guān)注點(diǎn)等,，這些都是建設(shè)ISMS的重要信息輸入,，同時(shí)也是有效性測量的重點(diǎn)關(guān)注內(nèi)容。

　　3) 歷年安全事件的總結(jié)：信息安全事件的頻次,，能夠在一定程度上反映出組織信息安全的薄弱環(huán)節(jié),，這些高頻次的安全事件可作為有效性測量的一個(gè)重點(diǎn)，來跟蹤驗(yàn)證針對(duì)信息安全事件的安全措施是否有效,。如以往病毒發(fā)作的安全事件比較高,，那么可以將病毒的發(fā)作次數(shù)、病毒軟件的安裝率,、操作系統(tǒng)的補(bǔ)丁更新率作為有效性測量的指標(biāo)來進(jìn)行測量,，以反映出防病毒控制措施的有效性。

　　4) 信息安全高風(fēng)險(xiǎn)歸納：在策劃階段進(jìn)行風(fēng)險(xiǎn)評(píng)估中的信息安全高風(fēng)險(xiǎn),，是需要組織必須要處理的,，而且這些高風(fēng)險(xiǎn)同時(shí)是需要被重點(diǎn)跟蹤的，因此所有的信息安全高風(fēng)險(xiǎn)必須能夠反映到有效性測量的指標(biāo)體系中去,，來驗(yàn)證信息安全高風(fēng)險(xiǎn)的控制措施是否有效,。

　　按照上面所講的方面進(jìn)行有效性測量的需求信息收集，來為有效性測量提供有力的輸入信息,，這樣在進(jìn)行有效性測量指標(biāo)的設(shè)計(jì)時(shí),，就能夠做到有理有據(jù)。

　　2,、ISMS的Do運(yùn)作階段

　　在ISMS的運(yùn)作階段,，需要對(duì)有效性測量體系進(jìn)行詳細(xì)的設(shè)計(jì)，主要是解決測量什么,、如何測量,、測量結(jié)果如何展示的問題。我們從以下幾個(gè)方面進(jìn)行分析：

　　1) 分析有效性測量需求：對(duì)于策劃階段的各類有效性測量的輸入進(jìn)行歸納整理,，在這個(gè)基礎(chǔ)上還可以考慮加入一些其它方面的只要指標(biāo),，比如ISMS的重要活動(dòng)、信息安全管理的日常操作等,，這些方面統(tǒng)一分析整理,，最終得出一套需要進(jìn)行測量的重要指標(biāo),。

　　2) 有效性測量指標(biāo)分解：對(duì)歸納出來的各項(xiàng)重要指標(biāo)做進(jìn)一步分解，對(duì)應(yīng)到ISMS的各項(xiàng)具體度量項(xiàng),，并為每項(xiàng)設(shè)定度量目標(biāo)的閥值,。

　　3) 測量指標(biāo)采集方案設(shè)計(jì)：測量指標(biāo)采集方案的設(shè)計(jì)是將各項(xiàng)指標(biāo)如何測量進(jìn)行定義，包括測量指標(biāo)的計(jì)算方法,、指標(biāo)采集頻度,、測量責(zé)任人及采集方式等。測量方案一定要具體可行,，指標(biāo)采集頻度可以根據(jù)不同的指標(biāo)區(qū)別對(duì)待,，在制定責(zé)任人時(shí)應(yīng)盡量避免由操作者直接測量自己工作的指標(biāo)。

　　4) 有效性測量指標(biāo)的記錄：按照測量指標(biāo)采集方案的頻率進(jìn)行檢查,，并且按照時(shí)間線進(jìn)行記錄,，記錄的數(shù)據(jù)應(yīng)客觀準(zhǔn)確，這樣才能真正的反映問題,。

　　在此階段的過程中,，測量指標(biāo)的選取是一個(gè)重點(diǎn)，同時(shí)也是一個(gè)難點(diǎn),，不能測量的指標(biāo)過少,，但同時(shí)也沒有比較所有的控制點(diǎn)全部進(jìn)行測量，下面是一個(gè)測量指標(biāo)分類的參考,，可根據(jù)實(shí)際情況選取一些關(guān)鍵的指標(biāo)進(jìn)行度量,。

　　管理控制措施：如安全目標(biāo)、安全意識(shí)等方面;業(yè)務(wù)流程：如風(fēng)險(xiǎn)評(píng)估和處理,、選擇控制措施等;運(yùn)營措施：如備份,、防范惡意代碼、存儲(chǔ)介質(zhì)等方面;技術(shù)控制措施：如防火墻,、入侵檢測,、補(bǔ)丁管理等;審核、回顧和測試：如內(nèi)審,、外審,、技術(shù)符合性檢查等。

　　3,、ISMS的Check控制階段

　　在ISMS的控制階段,，需要做的事情有兩個(gè)方面，一是根據(jù)有效性測量的結(jié)果對(duì)ISMS進(jìn)行評(píng)價(jià),，另外一個(gè)需要對(duì)有效性測量體系進(jìn)行評(píng)價(jià),，兩方面的工作具體來說為：

　　1) 評(píng)價(jià)ISMS運(yùn)作：體系管理組根據(jù)指標(biāo)分解的層次，對(duì)指標(biāo)進(jìn)行計(jì)算,、整合及分析,，檢查各層次指標(biāo)是否滿足目標(biāo)要求，并對(duì)整體狀況進(jìn)行評(píng)估,，得出ISMS做的好的方面以及需要改進(jìn)的方面,。

　　2) 評(píng)價(jià)測量指標(biāo)：根據(jù)測量、分析結(jié)果,，評(píng)價(jià)有效性測量體系的貢獻(xiàn),，并從中找到需要改進(jìn)的區(qū)域，調(diào)整測量指標(biāo)體系,，為ISMS有效性的測量更好的提供服務(wù),。

　　4、ISMS的Act改進(jìn)階段

　　在ISMS的改進(jìn)階段,，基于控制階段的分析,，對(duì)ISMS及測量指標(biāo)體系分別進(jìn)行改進(jìn)，使之鞥好的為ISMS服務(wù),。

　　四,、有效性度量總結(jié)

　　有句話叫“你不能改進(jìn)你不能測量的東西”，這充分說明了有效性測量的重要性,，希望能夠通過有效性測量為ISMS的建設(shè)提供更好的服務(wù),，希望ISMS為組織業(yè)務(wù)創(chuàng)造更高的價(jià)值。