信息安全管理測(cè)評(píng)研究

摘要：信息安全管理測(cè)評(píng)是信息安全管理的一部分，作為衡量信息安全管理狀態(tài)及其績(jī)效的信息安全管理測(cè)評(píng)方法學(xué)的研究已成為迫切需要解決的重要課題，其對(duì)組織信息安全保障體系的建設(shè)、管理和改進(jìn)具有重要意義。

關(guān)鍵詞：信息安全管理；測(cè)評(píng)；要素；指標(biāo)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）27-6080-03

人類進(jìn)入信息化社會(huì)，社會(huì)發(fā)展對(duì)信息化的依賴程度越來越大，一方面信息化成果已成為社會(huì)的重要資源，在政治、經(jīng)濟(jì)、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程，其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運(yùn)行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實(shí)現(xiàn)信息安全目標(biāo)，就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略（包括計(jì)劃、程序、流程與記錄等）、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測(cè)評(píng)等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]，強(qiáng)調(diào)了測(cè)量對(duì)組織管理的重要意義，信息安全管理同樣也離不開測(cè)評(píng)。如何對(duì)信息安全管理有效性等進(jìn)行測(cè)量，根據(jù)測(cè)量的結(jié)果對(duì)組織信息安全管理情況進(jìn)行評(píng)價(jià)并進(jìn)一步指導(dǎo)信息安全管理，提高信息安全管理能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]。

信息安全管理測(cè)評(píng)是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映，不僅是對(duì)過去和現(xiàn)在的能力展現(xiàn)，而且為未來發(fā)展提供保障和動(dòng)力。在我國，目前關(guān)于信息安全管理測(cè)評(píng)研究剛處于起步階段，還沒有一套可供使用的信息安全測(cè)評(píng)體系標(biāo)準(zhǔn)、方法等。因此，開展信息安全管理測(cè)評(píng)研究，對(duì)組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長遠(yuǎn)的持續(xù)發(fā)展意義。

1 信息安全管理測(cè)評(píng)發(fā)展綜述與需求

關(guān)于信息安全測(cè)評(píng)，美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對(duì)其信息安全實(shí)踐進(jìn)行獨(dú)立測(cè)評(píng)，以確認(rèn)其有效性。這種測(cè)評(píng)主要包括對(duì)管理、運(yùn)行和技術(shù)三要素的控制和測(cè)試，其頻率視風(fēng)險(xiǎn)情況而定，但不能少于每年一次。在獨(dú)立評(píng)價(jià)的基礎(chǔ)上，聯(lián)邦管理與預(yù)算局應(yīng)向國會(huì)上報(bào)評(píng)價(jià)匯總結(jié)果；而聯(lián)邦審計(jì)署則需要周期性地評(píng)價(jià)并向國會(huì)匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況。

2003年7月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）發(fā)布了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測(cè)量指南》，其包括以下內(nèi)容[3]：

1） 角色和職責(zé)：介紹發(fā)展和執(zhí)行信息安全測(cè)量的主要任務(wù)和職責(zé)。

2） 信息安全測(cè)量背景：介紹測(cè)量定義、進(jìn)行信息安全測(cè)量的好處、測(cè)量類型、幾種可以進(jìn)行信息安全測(cè)量的控制、成功測(cè)量的重要因素、測(cè)量對(duì)管理、報(bào)告和決策的作用。

3） 測(cè)量發(fā)展和執(zhí)行過程：介紹用于信息安全測(cè)量發(fā)展的方法。

4） 測(cè)量項(xiàng)目執(zhí)行：討論可以影響安全測(cè)量項(xiàng)目的技術(shù)執(zhí)行的各種因素。

5） 以附件的形式給出的16種測(cè)量的模板。

2004年11月17日，美國的企業(yè)信息安全工作組（Corporate Information Security Working Group，CISWG）發(fā)布了CISWG CS1/05-0079《帶有支撐管理測(cè)量的信息安全計(jì)劃要素》[4]，2005年國際標(biāo)準(zhǔn)化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又發(fā)布了修訂版，并作為針對(duì)ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27，該文檔是根據(jù)CISWG的最佳實(shí)踐和測(cè)量小組的報(bào)告改編。

2005年8月31日，美國國際系統(tǒng)安全工程協(xié)會(huì)（International System Security Engineering Association，ISSEA）針對(duì)ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測(cè)量的貢獻(xiàn)背景）和“ISSEA Metrics”[6]（ISSEA測(cè)量）兩個(gè)貢獻(xiàn)文檔。

2009年國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布了ISO/IEC 27004：2009（信息技術(shù)一安全技術(shù)一信息安全管理測(cè)量）標(biāo)準(zhǔn)，為如何建立及測(cè)量ISMS及其控制措施提供了指導(dǎo)性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對(duì)信息安全保障工作重視程度的日益增強(qiáng)，不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來保護(hù)組織的重要信息資產(chǎn)，但是體系建立起來了，不少管理者都對(duì)ISMS的運(yùn)行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測(cè)評(píng)方法來全面的對(duì)ISMS的運(yùn)行情況進(jìn)行科學(xué)的評(píng)價(jià)，進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測(cè)評(píng)將為確定ISMS的實(shí)現(xiàn)目標(biāo)，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息安全風(fēng)險(xiǎn)管理、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù)，有助于降低安全風(fēng)險(xiǎn)，減少安全事件的概率和影響，改進(jìn)安全控制和管理過程的效率或降低其成本。

2 信息安全管理測(cè)評(píng)研究?jī)?nèi)容

信息安全管理測(cè)評(píng)是信息安全管理體系的重要部分，是信息安全管理測(cè)量與評(píng)價(jià)的綜合。信息安全管理測(cè)量的結(jié)果是信息安全績(jī)效評(píng)價(jià)的依據(jù)。信息安全管理測(cè)量比較具體，信息安全管理評(píng)價(jià)則通過具體來反映宏觀。 　　2.1 信息安全管理測(cè)評(píng)要素及其框架

信息安全管理測(cè)評(píng)要素包括：測(cè)評(píng)實(shí)體及其屬性、基礎(chǔ)測(cè)評(píng)方式、基礎(chǔ)測(cè)評(píng)變量、導(dǎo)出測(cè)評(píng)制式、導(dǎo)出測(cè)評(píng)變量、測(cè)評(píng)方法、測(cè)評(píng)基線、測(cè)評(píng)函數(shù)、分析模型、指示器、決策準(zhǔn)則、測(cè)評(píng)需求和可測(cè)評(píng)概念等，其框架如圖3.1信息安全測(cè)評(píng)框架所示，包括：基于什么樣的需求來測(cè)評(píng)（即測(cè)評(píng)需求），對(duì)什么進(jìn)行測(cè)評(píng)（即實(shí)體及其屬性），用什么指標(biāo)體系來測(cè)評(píng)（包括測(cè)評(píng)制式、測(cè)評(píng)變量和測(cè)評(píng)尺度），用什么方法來測(cè)評(píng)（即測(cè)評(píng)方法），用什么函數(shù)來計(jì)算測(cè)評(píng)結(jié)果（即測(cè)評(píng)函數(shù)），用什么模型來分析測(cè)評(píng)結(jié)果（即分析模型），用什么方式來使分析結(jié)果能夠輔助決策（即指示器）等問題。

信息需求是測(cè)評(píng)需求方提出的對(duì)測(cè)評(píng)結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo)，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。

決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測(cè)評(píng)的結(jié)果。決策準(zhǔn)則可能出自或基于對(duì)預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和探索中導(dǎo)出，或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來。

可測(cè)評(píng)概念是實(shí)體屬性與信息需求之間的抽象關(guān)系，體現(xiàn)將可測(cè)評(píng)屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想�？蓽y(cè)評(píng)概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險(xiǎn)、績(jī)效、能力、成熟度和客戶價(jià)值等。實(shí)體是能通過測(cè)評(píng)屬性描述的對(duì)象。一個(gè)實(shí)體是測(cè)評(píng)其屬性的一個(gè)對(duì)象，例如，過程、產(chǎn)品、系統(tǒng)、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性。實(shí)踐中，一個(gè)實(shí)體可被歸類于多個(gè)上述類別。他可以是有形的也可是無形的。信息安全管理測(cè)評(píng)的實(shí)體包括信息安全管理體系建立過程中所有的控制項(xiàng)（信息安全管理測(cè)評(píng)要素）。屬性是實(shí)體可測(cè)評(píng)的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性，其中只有一些可能對(duì)測(cè)評(píng)有價(jià)值。測(cè)評(píng)模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測(cè)評(píng)構(gòu)造中。信息安全管理測(cè)評(píng)主要測(cè)評(píng)的是每一項(xiàng)控制措施的屬性（信息安全管理測(cè)評(píng)指標(biāo)）。

測(cè)評(píng)是以確定量值為目的的一組操作。信息安全管理測(cè)評(píng)是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作，可以有多種測(cè)評(píng)方法�；�礎(chǔ)測(cè)評(píng)是依照屬性和定量方法而定義的測(cè)評(píng)方法，是用來直接測(cè)評(píng)某一屬性的，是根據(jù)屬性和量化他的方法來定義，他捕獲單獨(dú)屬性的信息，其功能獨(dú)立于其他測(cè)評(píng)。信息安全管理基礎(chǔ)測(cè)評(píng)是對(duì)于控制項(xiàng)的指標(biāo)可以直接測(cè)評(píng)出來的量。導(dǎo)出測(cè)評(píng)是通過測(cè)評(píng)其他屬性來間接地測(cè)評(píng)某一屬性的測(cè)評(píng)，是根據(jù)屬性之間的關(guān)系來定義，他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息，其功能依賴于基礎(chǔ)測(cè)評(píng)的，是兩個(gè)或更多基礎(chǔ)測(cè)評(píng)值得函數(shù)。

測(cè)評(píng)尺度是一組連續(xù)或離散的數(shù)字量值（如小數(shù)/百分比/自然數(shù)等）或離散的可數(shù)量值（如高/中/低/等）。測(cè)評(píng)尺度是規(guī)范測(cè)評(píng)變量取值的類型和范圍。測(cè)評(píng)方法將所測(cè)評(píng)屬性的量級(jí)影射到一個(gè)測(cè)評(píng)尺度上的量值后賦給測(cè)評(píng)變量。

測(cè)評(píng)尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型：

名義（Nominal） ：測(cè)評(píng)值是直呼其名。

序數(shù)（Ordinal） ：測(cè)評(píng)值是有等級(jí)的。

間隔（Interval） ：測(cè)評(píng)值是等距離的，對(duì)應(yīng)于屬性的等量，不可能是零值。

比率（Ratio） ：測(cè)評(píng)值是等距離的，對(duì)應(yīng)于屬性的等量，無該屬性為零值。

測(cè)評(píng)單位是作為慣例定義和被廣泛接受的一個(gè)特定量。他被用作比較相同種類量值的基準(zhǔn)，以表達(dá)他們相對(duì)于此量的量級(jí)。只有用相同測(cè)評(píng)單位表達(dá)的量值才能直接比較。測(cè)評(píng)單位的例子有公尺、公斤和小時(shí)等。

測(cè)評(píng)函數(shù)是將兩個(gè)或更多測(cè)評(píng)變量結(jié)合成導(dǎo)出測(cè)評(píng)變量的算法。導(dǎo)出測(cè)評(píng)變量的尺度和單位依賴于作為函數(shù)輸入的測(cè)評(píng)變量的尺度和單位以及他們通過函數(shù)結(jié)合的運(yùn)算方式。分析模型是將一個(gè)或多個(gè)測(cè)評(píng)變量轉(zhuǎn)化為指示器的算法。他是基于對(duì)測(cè)評(píng)變量和/或他們經(jīng)過一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評(píng)估或評(píng)價(jià)。測(cè)評(píng)方法和測(cè)評(píng)尺度影響分析模型的選擇。

測(cè)評(píng)計(jì)劃定義了測(cè)評(píng)實(shí)施的目標(biāo)、方法、步驟和資源。測(cè)評(píng)頻率是測(cè)評(píng)計(jì)劃的執(zhí)行頻率。測(cè)評(píng)計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。

2.2 信息安全管理測(cè)評(píng)量表體系

任何測(cè)評(píng)都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息安全測(cè)評(píng)指標(biāo)體系是信息安全測(cè)評(píng)的基礎(chǔ)，是對(duì)指定屬性的評(píng)價(jià)，這些屬性與測(cè)評(píng)需求方的信息保障需求相關(guān)聯(lián)，對(duì)他們進(jìn)行評(píng)價(jià)為測(cè)評(píng)需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測(cè)評(píng)需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn)，其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個(gè)方面，提出了133個(gè)控制措施供使用者在信息安全管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌?qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面。在建立信息安全管理測(cè)評(píng)指標(biāo)體系的實(shí)踐中，通常以控制措施的實(shí)施情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過對(duì)預(yù)選指標(biāo)集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。

3 信息安全管理測(cè)評(píng)方法探討

測(cè)評(píng)方法通常影響到用于給定屬性的測(cè)評(píng)尺度類型。例如，主觀測(cè)評(píng)方法通常只支持序數(shù)或名義類型的測(cè)評(píng)尺度。測(cè)評(píng)方法是使用指定的測(cè)評(píng)制式量化屬性的操作邏輯序列。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過時(shí)間等。同樣的測(cè)評(píng)方法可能適用于多個(gè)屬性。然而，每一個(gè)屬性和測(cè)評(píng)方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測(cè)評(píng)。測(cè)評(píng)方法可能采用多種方式實(shí)現(xiàn)。測(cè)評(píng)規(guī)程描述給定機(jī)構(gòu)背景下測(cè)評(píng)方法的特定實(shí)現(xiàn)。 　　測(cè)評(píng)方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數(shù)字規(guī)則（如計(jì)數(shù)）的量化。這些規(guī)則可能通過人或自動(dòng)手段來實(shí)現(xiàn)。

測(cè)評(píng)方法的可能例子有：調(diào)查觀察、問卷、知識(shí)評(píng)估、視察、再執(zhí)行、系統(tǒng)咨詢、測(cè)試（相關(guān)技術(shù)有設(shè)計(jì)測(cè)試和操作有效性測(cè)試等）、統(tǒng)計(jì)（相關(guān)技術(shù)有描述統(tǒng)計(jì)、假設(shè)檢驗(yàn)、測(cè)評(píng)分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計(jì)過程控制（SPC， statistical Process control） 圖和時(shí)序分析等）。

4 結(jié)束語

當(dāng)前，信息安全領(lǐng)域的測(cè)評(píng)研究多側(cè)重于對(duì)技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測(cè)評(píng)，其中信息安全風(fēng)險(xiǎn)評(píng)估可通過對(duì)重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評(píng)價(jià)掌握組織的信息安全狀況；信息安全審計(jì)則只是對(duì)信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù)；而信息安全管理評(píng)審則是符合性審核，他們都不能對(duì)信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評(píng)價(jià)。因此，非常有必要對(duì)信息安全管理的有效性進(jìn)行測(cè)評(píng)，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供依據(jù)，也能為組織信息安全管理過程的持續(xù)改進(jìn)提供足夠的幫助，達(dá)到更好地管理信息安全的最終目的。

參考文獻(xiàn)：

[1] 閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測(cè)量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測(cè)量[J].信息網(wǎng)絡(luò)安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31

[6] ISSEA （International System Security Engineering ASSociation ） Metrics Contribution Background ， 2005-08-31

[7] 李堯.論ISMS中的有效性測(cè)量——基于ISO/IEC27004：2009的ISMS有效性測(cè)量淺析[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)， 2010，28（3）：53-58.

【信息安全管理測(cè)評(píng)研究】相關(guān)文章：

建筑企業(yè)安全管理信息化研究04-26

企業(yè)信息化水平測(cè)評(píng)方法研究04-27

信息傳遞與管理激勵(lì)研究04-27

安全環(huán)保綜合信息管理系統(tǒng)的研究與應(yīng)用04-27

注意能力測(cè)評(píng)方法的初步研究05-02

基于PDM的工藝信息管理的研究04-27

安全與質(zhì)量的協(xié)同管理研究04-25

對(duì)衛(wèi)星測(cè)控信息安全的系統(tǒng)研究05-02

我國與外國空管信息管理的對(duì)比研究04-28

高校教務(wù)管理信息化建設(shè)研究04-28