信息安全管理測評研究

信息安全管理測評研究

摘要：信息安全管理測評是信息安全管理的一部分，作為衡量信息安全管理狀態(tài)及其績效的信息安全管理測評方法學(xué)的研究已成為迫切需要解決的重要課題，其對組織信息安全保障體系的建設(shè)、管理和改進(jìn)具有重要意義。

關(guān)鍵詞：信息安全管理；測評；要素；指標(biāo)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進(jìn)入信息化社會(huì)，社會(huì)發(fā)展對信息化的依賴程度越來越大，一方面信息化成果已成為社會(huì)的重要資源，在政治、經(jīng)濟(jì)、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程，其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運(yùn)行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實(shí)現(xiàn)信息安全目標(biāo)，就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略（包括計(jì)劃、程序、流程與記錄等）、風(fēng)險(xiǎn)評估、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測評等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]，強(qiáng)調(diào)了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進(jìn)行測量，根據(jù)測量的結(jié)果對組織信息安全管理情況進(jìn)行評價(jià)并進(jìn)一步指導(dǎo)信息安全管理，提高信息安全管理能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]。

信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映，不僅是對過去和現(xiàn)在的能力展現(xiàn)，而且為未來發(fā)展提供保障和動(dòng)力。在我國，目前關(guān)于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標(biāo)準(zhǔn)、方法等。因此，開展信息安全管理測評研究，對組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長遠(yuǎn)的持續(xù)發(fā)展意義。

1 信息安全管理測評發(fā)展綜述與需求

關(guān)于信息安全測評，美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對其信息安全實(shí)踐進(jìn)行獨(dú)立測評，以確認(rèn)其有效性。這種測評主要包括對管理、運(yùn)行和技術(shù)三要素的控制和測試，其頻率視風(fēng)險(xiǎn)情況而定，但不能少于每年一次。在獨(dú)立評價(jià)的基礎(chǔ)上，聯(lián)邦管理與預(yù)算局應(yīng)向國會(huì)上報(bào)評價(jià)匯總結(jié)果；而聯(lián)邦審計(jì)署則需要周期性地評價(jià)并向國會(huì)匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況。

2003年7月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）發(fā)布了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》，其包括以下內(nèi)容[3]：

1） 角色和職責(zé)：介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責(zé)。

2） 信息安全測量背景：介紹測量定義、進(jìn)行信息安全測量的好處、測量類型、幾種可以進(jìn)行信息安全測量的控制、成功測量的重要因素、測量對管理、報(bào)告和決策的作用。

3） 測量發(fā)展和執(zhí)行過程：介紹用于信息安全測量發(fā)展的方法。

4） 測量項(xiàng)目執(zhí)行：討論可以影響安全測量項(xiàng)目的技術(shù)執(zhí)行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）發(fā)布了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計(jì)劃要素》[4]，2005年國際標(biāo)準(zhǔn)化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又發(fā)布了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27，該文檔是根據(jù)CISWG的最佳實(shí)踐和測量小組的報(bào)告改編。

2005年8月31日，美國國際系統(tǒng)安全工程協(xié)會(huì)（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻(xiàn)背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個(gè)貢獻(xiàn)文檔。

2009年國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布了ISO/IEC 27004：2009（信息技術(shù)一安全技術(shù)一信息安全管理測量）標(biāo)準(zhǔn)，為如何建立及測量ISMS及其控制措施提供了指導(dǎo)性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強(qiáng)，不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來保護(hù)組織的重要信息資產(chǎn)，但是體系建立起來了，不少管理者都對ISMS的運(yùn)行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運(yùn)行情況進(jìn)行科學(xué)的評價(jià)，進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實(shí)現(xiàn)目標(biāo)，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息安全風(fēng)險(xiǎn)管理、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù)，有助于降低安全風(fēng)險(xiǎn)，減少安全事件的概率和影響，改進(jìn)安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內(nèi)容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價(jià)的綜合。信息安全管理測量的結(jié)果是信息安全績效評價(jià)的依據(jù)。信息安全管理測量比較具體，信息安全管理評價(jià)則通過具體來反映宏觀。 　　2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實(shí)體及其屬性、基礎(chǔ)測評方式、基礎(chǔ)測評變量、導(dǎo)出測評制式、導(dǎo)出測評變量、測評方法、測評基線、測評函數(shù)、分析模型、指示器、決策準(zhǔn)則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進(jìn)行測評（即實(shí)體及其屬性），用什么指標(biāo)體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數(shù)來計(jì)算測評結(jié)果（即測評函數(shù)），用什么模型來分析測評結(jié)果（即分析模型），用什么方式來使分析結(jié)果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。

決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測評的結(jié)果。決策準(zhǔn)則可能出自或基于對預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和探索中導(dǎo)出，或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來。

可測評概念是實(shí)體屬性與信息需求之間的抽象關(guān)系，體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想�？蓽y評概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險(xiǎn)、績效、能力、成熟度和客戶價(jià)值等。實(shí)體是能通過測評屬性描述的對象。一個(gè)實(shí)體是測評其屬性的一個(gè)對象，例如，過程、產(chǎn)品、系統(tǒng)、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性。實(shí)踐中，一個(gè)實(shí)體可被歸類于多個(gè)上述類別。他可以是有形的也可是無形的。信息安全管理測評的實(shí)體包括信息安全管理體系建立過程中所有的控制項(xiàng)（信息安全管理測評要素）。屬性是實(shí)體可測評的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性，其中只有一些可能對測評有價(jià)值。測評模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測評構(gòu)造中。信息安全管理測評主要測評的是每一項(xiàng)控制措施的屬性（信息安全管理測評指標(biāo)）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作，可以有多種測評方法�；�礎(chǔ)測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據(jù)屬性和量化他的方法來定義，他捕獲單獨(dú)屬性的信息，其功能獨(dú)立于其他測評。信息安全管理基礎(chǔ)測評是對于控制項(xiàng)的指標(biāo)可以直接測評出來的量。導(dǎo)出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據(jù)屬性之間的關(guān)系來定義，他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息，其功能依賴于基礎(chǔ)測評的，是兩個(gè)或更多基礎(chǔ)測評值得函數(shù)。

測評尺度是一組連續(xù)或離散的數(shù)字量值（如小數(shù)/百分比/自然數(shù)等）或離散的可數(shù)量值（如高/中/低/等）。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個(gè)測評尺度上的量值后賦給測評變量。

測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數(shù)（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應(yīng)于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應(yīng)于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個(gè)特定量。他被用作比較相同種類量值的基準(zhǔn)，以表達(dá)他們相對于此量的量級。只有用相同測評單位表達(dá)的量值才能直接比較。測評單位的例子有公尺、公斤和小時(shí)等。

測評函數(shù)是將兩個(gè)或更多測評變量結(jié)合成導(dǎo)出測評變量的算法。導(dǎo)出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運(yùn)算方式。分析模型是將一個(gè)或多個(gè)測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價(jià)。測評方法和測評尺度影響分析模型的選擇。

測評計(jì)劃定義了測評實(shí)施的目標(biāo)、方法、步驟和資源。測評頻率是測評計(jì)劃的執(zhí)行頻率。測評計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息安全測評指標(biāo)體系是信息安全測評的基礎(chǔ)，是對指定屬性的評價(jià)，這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)，對他們進(jìn)行評價(jià)為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn)，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個(gè)方面，提出了133個(gè)控制措施供使用者在信息安全管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌?qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面。在建立信息安全管理測評指標(biāo)體系的實(shí)踐中，通常以控制措施的實(shí)施情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過對預(yù)選指標(biāo)集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過時(shí)間等。同樣的測評方法可能適用于多個(gè)屬性。然而，每一個(gè)屬性和測評方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測評。測評方法可能采用多種方式實(shí)現(xiàn)。測評規(guī)程描述給定機(jī)構(gòu)背景下測評方法的特定實(shí)現(xiàn)。 　　測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數(shù)字規(guī)則（如計(jì)數(shù)）的量化。這些規(guī)則可能通過人或自動(dòng)手段來實(shí)現(xiàn)。

測評方法的可能例子有：調(diào)查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試（相關(guān)技術(shù)有設(shè)計(jì)測試和操作有效性測試等）、統(tǒng)計(jì)（相關(guān)技術(shù)有描述統(tǒng)計(jì)、假設(shè)檢驗(yàn)、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計(jì)過程控制（SPC， statistical Process control） 圖和時(shí)序分析等）。

4 結(jié)束語

當(dāng)前，信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評，其中信息安全風(fēng)險(xiǎn)評估可通過對重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評價(jià)掌握組織的信息安全狀況；信息安全審計(jì)則只是對信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù)；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價(jià)。因此，非常有必要對信息安全管理的有效性進(jìn)行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據(jù)，也能為組織信息安全管理過程的持續(xù)改進(jìn)提供足夠的幫助，達(dá)到更好地管理信息安全的最終目的。

參考文獻(xiàn)：

[1] 閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31

[6] ISSEA （International System Security Engineering ASSociation ） Metrics Contribution Background ， 2005-08-31

[7] 李堯.論ISMS中的有效性測量——基于ISO/IEC27004：2009的ISMS有效性測量淺析[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)， 2010，28（3）：53-58.

【信息安全管理測評研究】相關(guān)文章：

建筑企業(yè)安全管理信息化研究04-26

企業(yè)信息化水平測評方法研究04-27

信息傳遞與管理激勵(lì)研究04-27

安全環(huán)保綜合信息管理系統(tǒng)的研究與應(yīng)用04-27

注意能力測評方法的初步研究05-02

基于PDM的工藝信息管理的研究04-27

安全與質(zhì)量的協(xié)同管理研究04-25

對衛(wèi)星測控信息安全的系統(tǒng)研究05-02

我國與外國空管信息管理的對比研究04-28

高校教務(wù)管理信息化建設(shè)研究04-28