ISMS信息安全管理體系有效性測(cè)量淺析

隨著各界對(duì)信息安全管理重視程度的加強(qiáng),越來(lái)越多的組織依據(jù)ISO27001標(biāo)準(zhǔn)來(lái)建立自身的信息安全管理體系(ISMS),對(duì)于ISMS的建立的過(guò)程和方法已經(jīng)有很多的資料可以參考,然而對(duì)ISMS的有效性進(jìn)行測(cè)量則是一個(gè)比較新的課題.

一、為什么需要對(duì)ISMS進(jìn)行有效性測(cè)量?

為什么要對(duì)ISMS的有效性進(jìn)行測(cè)量呢?換句話說(shuō),進(jìn)行ISMS有效性測(cè)量的意義及價(jià)值是什么,下面從以下幾個(gè)角度來(lái)評(píng)述.

1.對(duì)ISO27001信息安全管理目標(biāo)的考核

組織在建立ISMS時(shí)都會(huì)依據(jù)組織業(yè)務(wù)的發(fā)展、各利益相關(guān)方安全要求及組織的信息安全管理水平等,來(lái)設(shè)定自身信息安全管理的目標(biāo),通過(guò)有效性測(cè)量,不但可以很好的對(duì)信息安全目標(biāo)達(dá)到的程度進(jìn)行考核,準(zhǔn)確的衡量ISMS的績(jī)效,而且還能夠?yàn)楣芾韺訉?duì)信息安全管理的資源投入提供數(shù)據(jù)依據(jù).

2.ISMS持續(xù)改進(jìn)的重要依據(jù)

在建立ISMS時(shí),通常都會(huì)進(jìn)行風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)處理措施的實(shí)施,如果不進(jìn)行有效行測(cè)量,就不能反映出當(dāng)前組織的各安全措施的效果如何,即無(wú)法表現(xiàn)出信息安全的改進(jìn)在哪些方面.通過(guò)有效性測(cè)量,能夠更充分的反映出當(dāng)前組織的信息安全存在問(wèn)題及問(wèn)題的嚴(yán)重程度,為今后的信息安全的工作重點(diǎn)提供有力的依據(jù).

3.ISO27001信息安全管理工作的績(jī)效考核

有效性測(cè)量結(jié)果不僅是衡量ISMS績(jī)效的重要標(biāo)準(zhǔn),也是對(duì)信息安全管理組織工作績(jī)效的一個(gè)有利的側(cè)面展示,通過(guò)有效性測(cè)量的數(shù)據(jù),不但可以使管理者清晰的了解信息安全管理工作,而且還能增強(qiáng)信息安全管理工作人員的信心.

4.滿足標(biāo)準(zhǔn)(ISO27001)的符合性要求

眾所周知,ISO27001標(biāo)準(zhǔn)中明確要求組織定義測(cè)量體系,并實(shí)施之獲得數(shù)據(jù),衡量所實(shí)施ISMS的有效性.通過(guò)ISMS有效性測(cè)量工作,不僅僅充分的滿足了標(biāo)準(zhǔn)的要求,而且是推動(dòng)ISMS持續(xù)改進(jìn)的動(dòng)力.

二、進(jìn)行有效性測(cè)量需要注意什么?

在對(duì)ISMS進(jìn)行有效性測(cè)量的時(shí)候,我們應(yīng)該遵循什么樣的原則呢?我認(rèn)為只要遵循“有依據(jù)、可操作、能比較”這三點(diǎn)原則,那么設(shè)計(jì)出來(lái)的有效性測(cè)量體系就是比較好的.這三點(diǎn)原則說(shuō)明如下:

1)有依據(jù):有效性測(cè)量的過(guò)程中,不是為了測(cè)量而測(cè)量,不是為了標(biāo)準(zhǔn)而測(cè)量,各項(xiàng)指標(biāo)的設(shè)定一定要有理有據(jù),每個(gè)測(cè)量的指標(biāo)都應(yīng)當(dāng)能夠具體反映出ISMS的運(yùn)行狀態(tài).

2)可操作:一個(gè)不能操作的測(cè)量指標(biāo)體系是沒(méi)有意義的,所以有效性測(cè)量指標(biāo)體系一定是清晰、明確,具體可操作的,而同時(shí)又是容易收集、不能花費(fèi)太大的成本的,否則設(shè)計(jì)再好的測(cè)量指標(biāo)體系都無(wú)法真正的貫徹執(zhí)行.

3)能比較:有效性測(cè)量的結(jié)果一定是可比較的,可以通過(guò)量化的數(shù)值、圖形化的參考來(lái)展現(xiàn)測(cè)量的結(jié)果,這樣能夠清晰、直觀的觀察到ISMS的狀態(tài)趨勢(shì).

三、如何進(jìn)行有效性測(cè)量體系的設(shè)計(jì)?

前面談到了進(jìn)行有效性測(cè)量的必要性以及建立測(cè)量指標(biāo)體系的原則,那么如何建立一個(gè)有效性測(cè)量的體系呢?下面結(jié)合ISMS建設(shè)的PDCA四個(gè)階段來(lái)做一個(gè)說(shuō)明各階段的重要活動(dòng).

1.ISMS的Plan策劃階段

隨著整個(gè)ISMS的策劃,有效性測(cè)量的工作其實(shí)已經(jīng)可以開(kāi)展,這個(gè)階段主要是收集有效性測(cè)量的需求,為有效性測(cè)量提供輸入,是進(jìn)行有效性測(cè)量指標(biāo)體系設(shè)計(jì)的基礎(chǔ).具體的活動(dòng)如下:

1)ISMS目標(biāo)建立:有效性測(cè)量一定要與組織的業(yè)務(wù)目標(biāo)相關(guān),是為了組織的核心業(yè)務(wù)目標(biāo)而測(cè)量的,這是進(jìn)行有效性測(cè)量的第一要點(diǎn).在ISMS策劃階段建立組織ISMS的業(yè)務(wù)目標(biāo)時(shí),一定使ISMS的目標(biāo)能夠反映組織的業(yè)務(wù)目標(biāo),并且這個(gè)目標(biāo)需要遵守SMART原則,即要具體(Specific),可量化(Measurable),­可達(dá)成(Achievable or Attainable),現(xiàn)實(shí)的(Realistic),并且有限定的時(shí)間期限(Timely).

2)利害相關(guān)方關(guān)注收集:在ISMS的策劃階段,可以收集各利害相關(guān)人的關(guān)注點(diǎn),比如:客戶的信息安全關(guān)注點(diǎn)、股東或高層的信息安全關(guān)注點(diǎn)、上級(jí)或監(jiān)管機(jī)構(gòu)的信息安全關(guān)注點(diǎn)等,這些都是建設(shè)ISMS的重要信息輸入,同時(shí)也是有效性測(cè)量的重點(diǎn)關(guān)注內(nèi)容.

3)歷年安全事件的總結(jié):信息安全事件的頻次,能夠在一定程度上反映出組織信息安全的薄弱環(huán)節(jié),這些高頻次的安全事件可作為有效性測(cè)量的一個(gè)重點(diǎn),來(lái)跟蹤驗(yàn)證針對(duì)信息安全事件的安全措施是否有效.如以往病毒發(fā)作的安全事件比較高,那么可以將病毒的發(fā)作次數(shù)、病毒軟件的安裝率、操作系統(tǒng)的補(bǔ)丁更新率作為有效性測(cè)量的指標(biāo)來(lái)進(jìn)行測(cè)量,以反映出防病毒控制措施的有效性.

4)信息安全高風(fēng)險(xiǎn)歸納:在策劃階段進(jìn)行風(fēng)險(xiǎn)評(píng)估中的信息安全高風(fēng)險(xiǎn),是需要組織必須要處理的,而且這些高風(fēng)險(xiǎn)同時(shí)是需要被重點(diǎn)跟蹤的,因此所有的信息安全高風(fēng)險(xiǎn)必須能夠反映到有效性測(cè)量的指標(biāo)體系中去,來(lái)驗(yàn)證信息安全高風(fēng)險(xiǎn)的控制措施是否有效.

按照上面所講的方面進(jìn)行有效性測(cè)量的需求信息收集,來(lái)為有效性測(cè)量提供有力的輸入信息,這樣在進(jìn)行有效性測(cè)量指標(biāo)的設(shè)計(jì)時(shí),就能夠做到有理有據(jù).

2.ISMS的Do運(yùn)作階段

在ISMS的運(yùn)作階段,需要對(duì)有效性測(cè)量體系進(jìn)行詳細(xì)的設(shè)計(jì),主要是解決測(cè)量什么、如何測(cè)量、測(cè)量結(jié)果如何展示的問(wèn)題.我們從以下幾個(gè)方面進(jìn)行分析:

1)分析有效性測(cè)量需求:對(duì)于策劃階段的各類有效性測(cè)量的輸入進(jìn)行歸納整理,在這個(gè)基礎(chǔ)上還可以考慮加入一些其它方面的只要指標(biāo),比如ISMS的重要活動(dòng)、信息安全管理的日常操作等,這些方面統(tǒng)一分析整理,最終得出一套需要進(jìn)行測(cè)量的重要指標(biāo).

2)有效性測(cè)量指標(biāo)分解:對(duì)歸納出來(lái)的各項(xiàng)重要指標(biāo)做進(jìn)一步分解,對(duì)應(yīng)到ISMS的各項(xiàng)具體度量項(xiàng),并為每項(xiàng)設(shè)定度量目標(biāo)的閥值.

3)測(cè)量指標(biāo)采集方案設(shè)計(jì):測(cè)量指標(biāo)采集方案的設(shè)計(jì)是將各項(xiàng)指標(biāo)如何測(cè)量進(jìn)行定義,包括測(cè)量指標(biāo)的計(jì)算方法、指標(biāo)采集頻度、測(cè)量責(zé)任人及采集方式等.測(cè)量方案一定要具體可行,指標(biāo)采集頻度可以根據(jù)不同的指標(biāo)區(qū)別對(duì)待,在制定責(zé)任人時(shí)應(yīng)盡量避免由操作者直接測(cè)量自己工作的指標(biāo).

4)有效性測(cè)量指標(biāo)的記錄:按照測(cè)量指標(biāo)采集方案的頻率進(jìn)行檢查,并且按照時(shí)間線進(jìn)行記錄,記錄的數(shù)據(jù)應(yīng)客觀準(zhǔn)確,這樣才能真正的反映問(wèn)題.

在此階段的過(guò)程中,測(cè)量指標(biāo)的選取是一個(gè)重點(diǎn),同時(shí)也是一個(gè)難點(diǎn),不能測(cè)量的指標(biāo)過(guò)少,但同時(shí)也沒(méi)有比較所有的控制點(diǎn)全部進(jìn)行測(cè)量,下面是一個(gè)測(cè)量指標(biāo)分類的參考,可根據(jù)實(shí)際情況選取一些關(guān)鍵的指標(biāo)進(jìn)行度量.

-管理控制措施:如安全目標(biāo)、安全意識(shí)等方面;

-業(yè)務(wù)流程:如風(fēng)險(xiǎn)評(píng)估和處理、選擇控制措施等;

-運(yùn)營(yíng)措施:如備份、防范惡意代碼、存儲(chǔ)介質(zhì)等方面;

-技術(shù)控制措施:如防火墻、入侵檢測(cè)、補(bǔ)丁管理等;

-審核、回顧和測(cè)試:如內(nèi)審、外審、技術(shù)符合性檢查等.

3.ISMS的Check控制階段

在ISMS的控制階段,需要做的事情有兩個(gè)方面,一是根據(jù)有效性測(cè)量的結(jié)果對(duì)ISMS進(jìn)行評(píng)價(jià),另外一個(gè)需要對(duì)有效性測(cè)量體系進(jìn)行評(píng)價(jià),兩方面的工作具體來(lái)說(shuō)為:

1)評(píng)價(jià)ISMS運(yùn)作:體系管理組根據(jù)指標(biāo)分解的層次,對(duì)指標(biāo)進(jìn)行計(jì)算、整合及分析,檢查各層次指標(biāo)是否滿足目標(biāo)要求,并對(duì)整體狀況進(jìn)行評(píng)估,得出ISMS做的好的方面以及需要改進(jìn)的方面.

2)評(píng)價(jià)測(cè)量指標(biāo):根據(jù)測(cè)量、分析結(jié)果,評(píng)價(jià)有效性測(cè)量體系的貢獻(xiàn),并從中找到需要改進(jìn)的區(qū)域,調(diào)整測(cè)量指標(biāo)體系,為ISMS有效性的測(cè)量更好的提供服務(wù).

4.ISMS的Act改進(jìn)階段

在ISMS的改進(jìn)階段,基于控制階段的分析,對(duì)ISMS及測(cè)量指標(biāo)體系分別進(jìn)行改進(jìn),使之鞥好的為ISMS服務(wù).

四、總結(jié)

有句話叫“你不能改進(jìn)你不能測(cè)量的東西”,這充分說(shuō)明了有效性測(cè)量的重要性,希望能夠通過(guò)有效性測(cè)量為ISMS的建設(shè)提供更好的服務(wù),希望ISMS為組織業(yè)務(wù)創(chuàng)造更高的價(jià)值.

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202109/ccaa_27698.html