随着各界对信息安全管理重视程度的加强,越来越多的组织依据ISO 27001标准来建立自身的信息安全管理体系(ISMS),对于ISMS的建立的过程和方法已经有很多的资料可以参考,然而对ISMS的有效性进行测量则是一个比较新的课题,因此笔者愿意分享一些个人的知识和经验。
一、 为什么需要对ISMS进行有效性测量?
我们为什么要对ISMS的有效性进行测量呢?换句话说,进行ISMS有效性测量的意义及价值是什么,我们从以下几个角度来评述。
1. 对信息安全管理目标的考核
组织在建立ISMS时都会依据组织业务的发展、各利益相关方安全要求及组织的信息安全管理水平等,来设定自身信息安全管理的目标,通过有效性测量,不但可以很好的对信息安全目标达到的程度进行考核,准确的衡量ISMS的绩效,而且还能够为管理层对信息安全管理的资源投入提供数据依据。
2. ISMS持续改进的重要依据
在建立ISMS时,通常都会进行风险评估及风险处理措施的实施,如果不进行有效行测量,就不能反映出当前组织的各安全措施的效果如何,即无法表现出信息安全的改进在哪些方面。通过有效性测量,能够更充分的反映出当前组织的信息安全存在问题及问题的严重程度,为今后的信息安全的工作重点提供有力的依据。
3. 信息安全管理工作的绩效考核
有效性测量结果不仅是衡量ISMS绩效的重要标准,也是对信息安全管理组织工作绩效的一个有利的侧面展示,通过有效性测量的数据,不但可以使管理者清晰的了解信息安全管理工作,而且还能增强信息安全管理工作人员的信心。
4. 满足标准(ISO 27001)的符合性要求
众所周知,ISO 27001标准中明确要求组织定义测量体系,并实施之获得数据,衡量所实施ISMS的有效性。通过ISMS有效性测量工作,不仅仅充分的满足了标准的要求,而且是推动ISMS持续改进的动力。
二、 进行有效性测量需要注意什么?
在对ISMS进行有效性测量的时候,我们应该遵循什么样的原则呢?我认为只要遵循“有依据、可操作、能比较”这三点原则,那么设计出来的有效性测量体系就是比较好的。这三点原则说明如下:
1) 有依据:有效性测量的过程中,不是为了测量而测量,不是为了标准而测量,各项指标的设定一定要有理有据,每个测量的指标都应当能够具体反映出ISMS的运行状态。
2) 可操作:一个不能操作的测量指标体系是没有意义的,所以有效性测量指标体系一定是清晰、明确,具体可操作的,而同时又是容易收集、不能花费太大的成本的,否则设计再好的测量指标体系都无法真正的贯彻执行。
3) 能比较:有效性测量的结果一定是可比较的,可以通过量化的数值、图形化的参考来展现测量的结果,这样能够清晰、直观的观察到ISMS的状态趋势。
三、 如何进行有效性测量体系的设计?
前面我们谈到了进行有效性测量的必要性以及建立测量指标体系的原则,那么如何建立一个有效性测量的体系呢?下面我结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。
1. ISMS的Plan策划阶段
随着整个ISMS的策划,有效性测量的工作其实已经可以开展,这个阶段主要是收集有效性测量的需求,为有效性测量提供输入,是进行有效性测量指标体系设计的基础。具体的活动如下:
1) ISMS目标建立:有效性测量一定要与组织的业务目标相关,是为了组织的核心业务目标而测量的,这是进行有效性测量的第一要点。在ISMS策划阶段建立组织ISMS的业务目标时,一定使ISMS的目标能够反映组织的业务目标,并且这个目标需要遵守SMART原则,即要具体(Specific),可量化(Measurable),¬可达成(Achievable or Attainable),现实的(Realistic),并且有限定的时间期限(Timely)。
2) 利害相关方关注收集:在ISMS的策划阶段,可以收集各利害相关人的关注点,比如:客户的信息安全关注点、股东或高层的信息安全关注点、上级或监管机构的信息安全关注点等,这些都是建设ISMS的重要信息输入,同时也是有效性测量的重点关注内容。
3) 历年安全事件的总结:信息安全事件的频次,能够在一定程度上反映出组织信息安全的薄弱环节,这些高频次的安全事件可作为有效性测量的一个重点,来跟踪验证针对信息安全事件的安全措施是否有效。如以往病毒发作的安全事件比较高,那么可以将病毒的发作次数、病毒软件的安装率、操作系统的补丁更新率作为有效性测量的指标来进行测量,以反映出防病毒控制措施的有效性。
4) 信息安全高风险归纳:在策划阶段进行风险评估中的信息安全高风险,是需要组织必须要处理的,而且这些高风险同时是需要被重点跟踪的,因此所有的信息安全高风险必须能够反映到有效性测量的指标体系中去,来验证信息安全高风险的控制措施是否有效。
按照上面所讲的方面进行有效性测量的需求信息收集,来为有效性测量提供有力的输入信息,这样在进行有效性测量指标的设计时,就能够做到有理有据。
2. ISMS的Do运作阶段
在ISMS的运作阶段,需要对有效性测量体系进行详细的设计,主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析:
1) 分析有效性测量需求:对于策划阶段的各类有效性测量的输入进行归纳整理,在这个基础上还可以考虑加入一些其它方面的只要指标,比如ISMS的重要活动、信息安全管理的日常操作等,这些方面统一分析整理,最终得出一套需要进行测量的重要指标。
2) 有效性测量指标分解:对归纳出来的各项重要指标做进一步分解,对应到ISMS的各项具体度量项,并为每项设定度量目标的阀值。
3) 测量指标采集方案设计:测量指标采集方案的设计是将各项指标如何测量进行定义,包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行,指标采集频度可以根据不同的指标区别对待,在制定责任人时应尽量避免由操作者直接测量自己工作的指标。
4) 有效性测量指标的记录:按照测量指标采集方案的频率进行检查,并且按照时间线进行记录,记录的数据应客观准确,这样才能真正的反映问题。
在此阶段的过程中,测量指标的选取是一个重点,同时也是一个难点,不能测量的指标过少,但同时也没有比较所有的控制点全部进行测量,下面是一个测量指标分类的参考,可根据实际情况选取一些关键的指标进行度量。
- 管理控制措施:如安全目标、安全意识等方面;
- 业务流程:如风险评估和处理、选择控制措施等;
- 运营措施:如备份、防范恶意代码、存储介质等方面;
- 技术控制措施:如防火墙、入侵检测、补丁管理等;
- 审核、回顾和测试:如内审、外审、技术符合性检查等。
3. ISMS的Check控制阶段
在ISMS的控制阶段,需要做的事情有两个方面,一是根据有效性测量的结果对ISMS进行评价,另外一个需要对有效性测量体系进行评价,两方面的工作具体来说为:
1) 评价ISMS运作:体系管理组根据指标分解的层次,对指标进行计算、整合及分析,检查各层次指标是否满足目标要求,并对整体状况进行评估,得出ISMS做的好的方面以及需要改进的方面。
2) 评价测量指标:根据测量、分析结果,评价有效性测量体系的贡献,并从中找到需要改进的区域,调整测量指标体系,为ISMS有效性的测量更好的提供服务。
4. ISMS的Act改进阶段
在ISMS的改进阶段,基于控制阶段的分析,对ISMS及测量指标体系分别进行改进,使之鞥好的为ISMS服务。
四、 总结
有句话叫“你不能改进你不能测量的东西”,这充分说明了有效性测量的重要性,希望能够通过有效性测量为ISMS的建设提供更好的服务,希望ISMS为组织业务创造更高的价值。
李鹏飞,谷安天下公司咨询顾问。信息对抗技术专业毕业,五年信息安全领域工作经验。主要从事信息系统运行维护、信息安全风险评估、信息安全管理体系咨询等方面工作,曾服务的客户有:深圳证券通信公司、北方电信、上海电信、信达资产管理公司、北京NTT DATA、同方鼎欣、华胜天成等。
(责任编辑:adminadmin2008)
