全國:010-56542716
天津:022-27810977
資訊中心
隨著各界對信息安全管理重視程度的加強(qiáng),,越來越多的組織依據(jù)ISO27001標(biāo)準(zhǔn)來建立自身的信息安全管理體系(ISMS),對ISMS有效性如何進(jìn)行測量,,本文分享一些知識和經(jīng)驗,。
一、為什么需要進(jìn)行有效性測量?
我們?yōu)槭裁匆獙SMS的有效性進(jìn)行測量呢?換句話說,,進(jìn)行ISMS有效性測量的意義及價值是什么,,我們從以下幾個角度來評述。
1)對信息安全管理目標(biāo)的考核
組織在建立ISMS時都會依據(jù)組織業(yè)務(wù)的發(fā)展,、各利益相關(guān)方安全要求及組織的信息安全管理水平等,,來設(shè)定自身信息安全管理的目標(biāo),通過有效性測量,,不但可以很好的對信息安全目標(biāo)達(dá)到的程度進(jìn)行考核,,準(zhǔn)確的衡量ISMS的績效,而且還能夠為管理層對信息安全管理的資源投入提供數(shù)據(jù)依據(jù),。
2.)ISMS持續(xù)改進(jìn)的重要依據(jù)
在建立ISMS時,,通常都會進(jìn)行風(fēng)險評估及風(fēng)險處理措施的實施,如果不進(jìn)行有效行測量,,就不能反映出當(dāng)前組織的各安全措施的效果如何,,即無法表現(xiàn)出信息安全的改進(jìn)在哪些方面。通過有效性測量,,能夠更充分的反映出當(dāng)前組織的信息安全存在問題及問題的嚴(yán)重程度,,為今后的信息安全的工作重點提供有力的依據(jù)。
3)信息安全管理工作的績效考核
有效性測量結(jié)果不僅是衡量ISMS績效的重要標(biāo)準(zhǔn),,也是對信息安全管理組織工作績效的一個有利的側(cè)面展示,,通過有效性測量的數(shù)據(jù),不但可以使管理者清晰的了解信息安全管理工作,而且還能增強(qiáng)信息安全管理工作人員的信心,。
4)滿足標(biāo)準(zhǔn)(ISO27001)的符合性要求
眾所周知,,ISO27001標(biāo)準(zhǔn)中明確要求組織定義測量體系,,并實施之獲得數(shù)據(jù),,衡量所實施ISMS的有效性。通過ISMS有效性測量工作,,不僅僅充分的滿足了標(biāo)準(zhǔn)的要求,,而且是推動ISMS持續(xù)改進(jìn)的動力。
二,、進(jìn)行有效性測量需要注意什么?
在對ISMS進(jìn)行有效性測量的時候,,我們應(yīng)該遵循什么樣的原則呢?我認(rèn)為只要遵循“有依據(jù)、可操作,、能比較”這三點原則,,那么設(shè)計出來的有效性測量體系就是比較好的。這三點原則說明如下:
1) 有依據(jù):有效性測量的過程中,,不是為了測量而測量,,不是為了標(biāo)準(zhǔn)而測量,各項指標(biāo)的設(shè)定一定要有理有據(jù),,每個測量的指標(biāo)都應(yīng)當(dāng)能夠具體反映出ISMS的運行狀態(tài),。
2) 可操作:一個不能操作的測量指標(biāo)體系是沒有意義的,所以有效性測量指標(biāo)體系一定是清晰,、明確,,具體可操作的,而同時又是容易收集,、不能花費太大的成本的,,否則設(shè)計再好的測量指標(biāo)體系都無法真正的貫徹執(zhí)行。
3) 能比較:有效性測量的結(jié)果一定是可比較的,,可以通過量化的數(shù)值,、圖形化的參考來展現(xiàn)測量的結(jié)果,這樣能夠清晰,、直觀的觀察到ISMS的狀態(tài)趨勢,。
三、如何進(jìn)行有效性測量體系的設(shè)計?
前面我們談到了進(jìn)行有效性測量的必要性以及建立測量指標(biāo)體系的原則,,那么如何建立一個有效性測量的體系呢?下面我結(jié)合ISMS建設(shè)的PDCA四個階段來做一個說明各階段的重要活動,。
1、ISMS的Plan策劃階段
隨著整個ISMS的策劃,,有效性測量的工作其實已經(jīng)可以開展,,這個階段主要是收集有效性測量的需求,為有效性測量提供輸入,是進(jìn)行有效性測量指標(biāo)體系設(shè)計的基礎(chǔ),。具體的活動如下:
1) ISMS目標(biāo)建立:有效性測量一定要與組織的業(yè)務(wù)目標(biāo)相關(guān),,是為了組織的核心業(yè)務(wù)目標(biāo)而測量的,這是進(jìn)行有效性測量的第一要點,。在ISMS策劃階段建立組織ISMS的業(yè)務(wù)目標(biāo)時,,一定使ISMS的目標(biāo)能夠反映組織的業(yè)務(wù)目標(biāo),并且這個目標(biāo)需要遵守SMART原則,,即要具體(Specific),,可量化(Measurable),?可達(dá)成(Achievable or Attainable),,現(xiàn)實的(Realistic),,并且有限定的時間期限(Timely)。
2) 利害相關(guān)方關(guān)注收集:在ISMS的策劃階段,,可以收集各利害相關(guān)人的關(guān)注點,,比如:客戶的信息安全關(guān)注點、股東或高層的信息安全關(guān)注點,、上級或監(jiān)管機(jī)構(gòu)的信息安全關(guān)注點等,,這些都是建設(shè)ISMS的重要信息輸入,同時也是有效性測量的重點關(guān)注內(nèi)容,。
3) 歷年安全事件的總結(jié):信息安全事件的頻次,,能夠在一定程度上反映出組織信息安全的薄弱環(huán)節(jié),這些高頻次的安全事件可作為有效性測量的一個重點,,來跟蹤驗證針對信息安全事件的安全措施是否有效,。如以往病毒發(fā)作的安全事件比較高,那么可以將病毒的發(fā)作次數(shù),、病毒軟件的安裝率,、操作系統(tǒng)的補(bǔ)丁更新率作為有效性測量的指標(biāo)來進(jìn)行測量,以反映出防病毒控制措施的有效性,。
4) 信息安全高風(fēng)險歸納:在策劃階段進(jìn)行風(fēng)險評估中的信息安全高風(fēng)險,,是需要組織必須要處理的,而且這些高風(fēng)險同時是需要被重點跟蹤的,,因此所有的信息安全高風(fēng)險必須能夠反映到有效性測量的指標(biāo)體系中去,,來驗證信息安全高風(fēng)險的控制措施是否有效。
按照上面所講的方面進(jìn)行有效性測量的需求信息收集,,來為有效性測量提供有力的輸入信息,,這樣在進(jìn)行有效性測量指標(biāo)的設(shè)計時,就能夠做到有理有據(jù),。
2,、ISMS的Do運作階段
在ISMS的運作階段,,需要對有效性測量體系進(jìn)行詳細(xì)的設(shè)計,主要是解決測量什么,、如何測量,、測量結(jié)果如何展示的問題。我們從以下幾個方面進(jìn)行分析:
1) 分析有效性測量需求:對于策劃階段的各類有效性測量的輸入進(jìn)行歸納整理,,在這個基礎(chǔ)上還可以考慮加入一些其它方面的只要指標(biāo),,比如ISMS的重要活動、信息安全管理的日常操作等,,這些方面統(tǒng)一分析整理,,最終得出一套需要進(jìn)行測量的重要指標(biāo)。
2) 有效性測量指標(biāo)分解:對歸納出來的各項重要指標(biāo)做進(jìn)一步分解,,對應(yīng)到ISMS的各項具體度量項,并為每項設(shè)定度量目標(biāo)的閥值,。
3) 測量指標(biāo)采集方案設(shè)計:測量指標(biāo)采集方案的設(shè)計是將各項指標(biāo)如何測量進(jìn)行定義,,包括測量指標(biāo)的計算方法、指標(biāo)采集頻度,、測量責(zé)任人及采集方式等,。測量方案一定要具體可行,指標(biāo)采集頻度可以根據(jù)不同的指標(biāo)區(qū)別對待,,在制定責(zé)任人時應(yīng)盡量避免由操作者直接測量自己工作的指標(biāo),。
4) 有效性測量指標(biāo)的記錄:按照測量指標(biāo)采集方案的頻率進(jìn)行檢查,并且按照時間線進(jìn)行記錄,,記錄的數(shù)據(jù)應(yīng)客觀準(zhǔn)確,,這樣才能真正的反映問題。
在此階段的過程中,,測量指標(biāo)的選取是一個重點,,同時也是一個難點,不能測量的指標(biāo)過少,,但同時也沒有比較所有的控制點全部進(jìn)行測量,,下面是一個測量指標(biāo)分類的參考,可根據(jù)實際情況選取一些關(guān)鍵的指標(biāo)進(jìn)行度量,。
管理控制措施:如安全目標(biāo),、安全意識等方面;
業(yè)務(wù)流程:如風(fēng)險評估和處理、選擇控制措施等;
運營措施:如備份,、防范惡意代碼,、存儲介質(zhì)等方面;
技術(shù)控制措施:如防火墻、入侵檢測,、補(bǔ)丁管理等;
審核,、回顧和測試:如內(nèi)審、外審、技術(shù)符合性檢查等,。
3,、ISMS的Check控制階段
在ISMS的控制階段,需要做的事情有兩個方面,,一是根據(jù)有效性測量的結(jié)果對ISMS進(jìn)行評價,,另外一個需要對有效性測量體系進(jìn)行評價,兩方面的工作具體來說為:
1) 評價ISMS運作:體系管理組根據(jù)指標(biāo)分解的層次,,對指標(biāo)進(jìn)行計算,、整合及分析,檢查各層次指標(biāo)是否滿足目標(biāo)要求,,并對整體狀況進(jìn)行評估,,得出ISMS做的好的方面以及需要改進(jìn)的方面。
2) 評價測量指標(biāo):根據(jù)測量,、分析結(jié)果,,評價有效性測量體系的貢獻(xiàn),并從中找到需要改進(jìn)的區(qū)域,,調(diào)整測量指標(biāo)體系,,為ISMS有效性的測量更好的提供服務(wù)。
4,、ISMS的Act改進(jìn)階段
在ISMS的改進(jìn)階段,,基于控制階段的分析,對ISMS及測量指標(biāo)體系分別進(jìn)行改進(jìn),,使之鞥好的為ISMS服務(wù),。
四、有效性度量總結(jié)
有句話叫“你不能改進(jìn)你不能測量的東西”,,這充分說明了有效性測量的重要性,,希望能夠通過有效性測量為ISMS的建設(shè)提供更好的服務(wù),希望ISMS為組織業(yè)務(wù)創(chuàng)造更高的價值,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信