歡迎訪問北京AG捕鱼王谘詢有限公司!
INFORMATION

資訊中心

學術專題

您當前所在位置: 首頁 > 資訊中心 > 學術專題

信息安全管理體係有效性度量思路

發布時間: 2020-03-19 13:44:28

  隨著各界對信息安全管理重視程度的加強,越來越多的組織依據ISO27001標準來建立自身的信息安全管理體係(ISMS),對ISMS有效性如何進行測量,本文分享一些知識和經驗。

  一、為什麽需要進行有效性測量?

  我們為什麽要對ISMS的有效性進行測量呢?換句話說,進行ISMS有效性測量的意義及價值是什麽,我們從以下幾個角度來評述。

  1)對信息安全管理目標的考核

  組織在建立ISMS時都會依據組織業務的發展、各利益相關方安全要求及組織的信息安全管理水平等,來設定自身信息安全管理的目標,通過有效性測量,不但可以很好的對信息安全目標達到的程度進行考核,準確的衡量ISMS的績效,而且還能夠為管理層對信息安全管理的資源投入提供數據依據。

  2.)ISMS持續改進的重要依據

  在建立ISMS時,通常都會進行風險評估及風險處理措施的實施,如果不進行有效行測量,就不能反映出當前組織的各安全措施的效果如何,即無法表現出信息安全的改進在哪些方麵。通過有效性測量,能夠更充分的反映出當前組織的信息安全存在問題及問題的嚴重程度,為今後的信息安全的工作重點提供有力的依據。

  3)信息安全管理工作的績效考核

  有效性測量結果不僅是衡量ISMS績效的重要標準,也是對信息安全管理組織工作績效的一個有利的側麵展示,通過有效性測量的數據,不但可以使管理者清晰的了解信息安全管理工作,而且還能增強信息安全管理工作人員的信心。

  4)滿足標準(ISO27001)的符合性要求

  眾所周知,ISO27001標準中明確要求組織定義測量體係,並實施之獲得數據,衡量所實施ISMS的有效性。通過ISMS有效性測量工作,不僅僅充分的滿足了標準的要求,而且是推動ISMS持續改進的動力。

  二、進行有效性測量需要注意什麽?

  在對ISMS進行有效性測量的時候,我們應該遵循什麽樣的原則呢?我認為隻要遵循“有依據、可操作、能比較”這三點原則,那麽設計出來的有效性測量體係就是比較好的。這三點原則說明如下:

  1) 有依據:有效性測量的過程中,不是為了測量而測量,不是為了標準而測量,各項指標的設定一定要有理有據,每個測量的指標都應當能夠具體反映出ISMS的運行狀態。

  2) 可操作:一個不能操作的測量指標體係是沒有意義的,所以有效性測量指標體係一定是清晰、明確,具體可操作的,而同時又是容易收集、不能花費太大的成本的,否則設計再好的測量指標體係都無法真正的貫徹執行。

  3) 能比較:有效性測量的結果一定是可比較的,可以通過量化的數值、圖形化的參考來展現測量的結果,這樣能夠清晰、直觀的觀察到ISMS的狀態趨勢。

  三、如何進行有效性測量體係的設計?

  前麵我們談到了進行有效性測量的必要性以及建立測量指標體係的原則,那麽如何建立一個有效性測量的體係呢?下麵我結合ISMS建設的PDCA四個階段來做一個說明各階段的重要活動。

  1、ISMS的Plan策劃階段

  隨著整個ISMS的策劃,有效性測量的工作其實已經可以開展,這個階段主要是收集有效性測量的需求,為有效性測量提供輸入,是進行有效性測量指標體係設計的基礎。具體的活動如下:

  1) ISMS目標建立:有效性測量一定要與組織的業務目標相關,是為了組織的核心業務目標而測量的,這是進行有效性測量的第一要點。在ISMS策劃階段建立組織ISMS的業務目標時,一定使ISMS的目標能夠反映組織的業務目標,並且這個目標需要遵守SMART原則,即要具體(Specific),可量化(Measurable),?可達成(Achievable or Attainable),現實的(Realistic),並且有限定的時間期限(Timely)。

  2) 利害相關方關注收集:在ISMS的策劃階段,可以收集各利害相關人的關注點,比如:客戶的信息安全關注點、股東或高層的信息安全關注點、上級或監管機構的信息安全關注點等,這些都是建設ISMS的重要信息輸入,同時也是有效性測量的重點關注內容。

  3) 曆年安全事件的總結:信息安全事件的頻次,能夠在一定程度上反映出組織信息安全的薄弱環節,這些高頻次的安全事件可作為有效性測量的一個重點,來跟蹤驗證針對信息安全事件的安全措施是否有效。如以往病毒發作的安全事件比較高,那麽可以將病毒的發作次數、病毒軟件的安裝率、操作係統的補丁更新率作為有效性測量的指標來進行測量,以反映出防病毒控製措施的有效性。

  4) 信息安全高風險歸納:在策劃階段進行風險評估中的信息安全高風險,是需要組織必須要處理的,而且這些高風險同時是需要被重點跟蹤的,因此所有的信息安全高風險必須能夠反映到有效性測量的指標體係中去,來驗證信息安全高風險的控製措施是否有效。

  按照上麵所講的方麵進行有效性測量的需求信息收集,來為有效性測量提供有力的輸入信息,這樣在進行有效性測量指標的設計時,就能夠做到有理有據。

  2、ISMS的Do運作階段

  在ISMS的運作階段,需要對有效性測量體係進行詳細的設計,主要是解決測量什麽、如何測量、測量結果如何展示的問題。我們從以下幾個方麵進行分析:

  1) 分析有效性測量需求:對於策劃階段的各類有效性測量的輸入進行歸納整理,在這個基礎上還可以考慮加入一些其它方麵的隻要指標,比如ISMS的重要活動、信息安全管理的日常操作等,這些方麵統一分析整理,最終得出一套需要進行測量的重要指標。

  2) 有效性測量指標分解:對歸納出來的各項重要指標做進一步分解,對應到ISMS的各項具體度量項,並為每項設定度量目標的閥值。

  3) 測量指標采集方案設計:測量指標采集方案的設計是將各項指標如何測量進行定義,包括測量指標的計算方法、指標采集頻度、測量責任人及采集方式等。測量方案一定要具體可行,指標采集頻度可以根據不同的指標區別對待,在製定責任人時應盡量避免由操作者直接測量自己工作的指標。

  4) 有效性測量指標的記錄:按照測量指標采集方案的頻率進行檢查,並且按照時間線進行記錄,記錄的數據應客觀準確,這樣才能真正的反映問題。

  在此階段的過程中,測量指標的選取是一個重點,同時也是一個難點,不能測量的指標過少,但同時也沒有比較所有的控製點全部進行測量,下麵是一個測量指標分類的參考,可根據實際情況選取一些關鍵的指標進行度量。

  管理控製措施:如安全目標、安全意識等方麵;

  業務流程:如風險評估和處理、選擇控製措施等;

  運營措施:如備份、防範惡意代碼、存儲介質等方麵;

  技術控製措施:如防火牆、入侵檢測、補丁管理等;

  審核、回顧和測試:如內審、外審、技術符合性檢查等。

  3、ISMS的Check控製階段

  在ISMS的控製階段,需要做的事情有兩個方麵,一是根據有效性測量的結果對ISMS進行評價,另外一個需要對有效性測量體係進行評價,兩方麵的工作具體來說為:

  1) 評價ISMS運作:體係管理組根據指標分解的層次,對指標進行計算、整合及分析,檢查各層次指標是否滿足目標要求,並對整體狀況進行評估,得出ISMS做的好的方麵以及需要改進的方麵。

  2) 評價測量指標:根據測量、分析結果,評價有效性測量體係的貢獻,並從中找到需要改進的區域,調整測量指標體係,為ISMS有效性的測量更好的提供服務。

  4、ISMS的Act改進階段

  在ISMS的改進階段,基於控製階段的分析,對ISMS及測量指標體係分別進行改進,使之鞥好的為ISMS服務。

  四、有效性度量總結

  有句話叫“你不能改進你不能測量的東西”,這充分說明了有效性測量的重要性,希望能夠通過有效性測量為ISMS的建設提供更好的服務,希望ISMS為組織業務創造更高的價值。


分享:
返回上一級

關注卓越空間

關注卓越微博

關注卓越微信

公司地址:北京市通州區磚廠北裏154號金隅創客+905室  郵編:101121 電話:010-56542716  傳真:010-56542750 京ICP備12042316號-1
市場部:zhuoyue9001@sina.com 網站運營部:zhuoyuetmz@163.com