信息安全有效性测量的意义
ISO27001(现已被采用为国标GB/T22080)是被广泛采用的信息安全管理体系标准,它提供了一套完备的信息安全管理方法。凡声称符合标准要求的组织必须“在业务活动所面临的风险环境下建立、实施、运行、监视、评审、保持和改进”体系,也就是按照PDCA的模型管理信息安全。而其中Check过程就是要对ISMS实施检查,所使用的具体方法就包括对控制措施和控制措施集有效性的测量。
实施信息安全管理是为组织整体运营目标服务的,信息安全是组织经营过程的一部分。因此,对信息安全管理过程的绩效考核必然是完善企业组织管理手段的有机组成,落实到具体操作就形成对其有效性的测量和管理。
信息安全有效性测量也从另外一个角度考察组织当前信息安全保护和措施运行状态,其丰富的测量结果为组织制定发展目标和战略方向提供了数据基础和决策依据,使得组织资源可以合理分配。
测量的类型
信息安全有效性测量主要关注于当前信息安全的状态,该状态可以直接或间接地反映信息安全管理体系的运行。按照有效性测量所关注的内容不同可以分为:
绩效测量:对于信息安全管理过程所采用的各种管理措施而言,对其投入产出进行绩效测量,考察预设的控制目标是否能够达成。具体到ISO27001,就是对所选择的附录A的控制措施或集合进行测量。
改进测量:该类测量主要考察信息安全管理体系对于不断变化的内外部环境的控制效果和适应性。
在信息安全管理体系运行的不同成熟度阶段,有效性测量又可以分为:
实施测量:在管理体系建立运行初期,测量可以对绩效进行评价。该类测量主要针对具体的控制措施、策略和流程的落实情况,例如,被要求使用口令登录的信息系统百分比。
效率测量:在体系运行较为成熟的阶段,效率测量用于监视流程级和过程级的控制措施是否有效运行。此类测量注重评价证据和结果,从多个测量点获取数据进行综合分析。效率测量除了考虑过程本身的健壮性之外还要考虑结果的实效性,如按计划执行运行管理的信息系统百分比。
影响测量:在信息安全管理体系运行更为成熟的阶段,可以考虑从信息安全对组织业务目标影响的角度进行有效性测量。此类测量综合了信息安全控制措施实施的结果和资源使用信息,从信息安全为组织所实现价值的角度进行测量。如防病毒系统预算对信息安全贡献的百分比。(如图一)
如何实施有效性测量
如同信息安全管理体系本身,有效性测量也是一个系统化的过程,同样也遵循PDCA的过程,也包括了从策划到实施、改进的完整过程。(如图二)
测量的PDCA可以和ISMS的PDCA过程一起进行。Plan——对测量需求进行收集和分析,提炼出测量目标;Do——建立并确定测量体系所使用的方法,进行测量数据采集和整理工作;Check——对采集的测量数据进行处理分析,对分析结果进行考核;Act——识别出测量体系中的不足并加以改进和提高,逐渐完善信息安全管理有效性测量体系。在此重点讨论一下测量体系的开发和实施细节。
策划开发过程
策划过程的重点之一是对组织利益相关方需求的识别。有效性测量目标的选择与组织的业务方向和关注焦点密切相关(如果公司的核心利益是客户资产,那么就需要对此方面的信息安全控制措施有效性实施重点测量),而公司高层、股东、过程负责人等主要利益相关方的意见直接代表了这些要求。也就是说测量体系要与组织的业务目标相关联,“通用”的测量指标未必适合自己。
测量目标的选择和指标的设置还需要考虑其可操作性。理想的测量指标还需要现实情况的支持,如果设置的测量无法或比较难以实现,那么可以选择其他易于操作的指标来代替。在设置测量指标时可以参考以下方面:
·组织是否有自动化的系统用于数据收集
·组织需要进行有效性测量的范围
·投入测量的资源情况
·有效性测量的可比较性。有效性测量的一个目的是对测量结果进行比较,包括与同业的横向比较和与自己在不同时间的纵向比较,从比较中寻找差距进行改进。这就要求选择的测量方法和考核指标具有一致性。
·测量频率的设置。测量频率关系到组织所分配资源的程度,测量得越频繁所需的测量成本越大。如何在成本和效果间获得平衡,图三提供了一些可参考的原则。
实现过程
测量数据的采集途径可以从很多渠道获得,包括日常系统维护、检查的记录信息,在执行体系内部审核、管理评审时所发现的问题,事件处理过程记录、现场保留的证据等,都可以作为数据来源。
数据化、图形化展示测量结果。对测量结果以数值或百分比的形式进行计算,尽量少用“高”、“中”、“低”等描述性的语言。由于测量结果的使用者未必都是技术性人员,因此直观的图表呈现方式更适合。
一个完整的有效性测量涉及多个方面,包括测量的范围、该项测量的目标、所选用的测量点和方法、如何度量结果、测量所需的数据来源、测量的周期设置、负责测量的责任人选择、责任相关方、汇报结果的对象等。