《信息技术安全技术信息安全管理测量(GB-T 31497-2015).docx》由会员分享,可在线阅读,更多相关《信息技术安全技术信息安全管理测量(GB-T 31497-2015).docx(60页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T CCCCCCCCC/ISO/IEC 27004:2009信息技术 安全技术 信息安全管理 测量Information technology Security techniques Information security management Measurement(ISO/IEC 27004:2009,IDT)(报批稿)(本稿完成日期:2013.7.24)XXXX - XX - XX发布XXXX - XX - 实施GB/T CCCCCCCCC/ISO/IEC 27004:2009目次前言III引言IV1范围12规范性引用文件13术语和定
2、义14本标准的结构35信息安全测量概述35.1信息安全测量目标35.2信息安全测量方案45.3成功因素55.4信息安全测量模型56管理职责116.1概述116.2资源管理126.3测量培训、意识和能力127测度和测量的制定127.1概述127.2测量范围的定义127.3信息需要的识别137.4对象及其属性的选择137.5测量构造的制定147.6测量构造的应用167.7数据收集、分析和报告的建立167.8测量实施途经和相应文件的建立168测量运行178.1概述178.2规程整合178.3数据收集、存储和验证179数据分析和测量结果报告189.1概述189.2分析数据并产生测量结果189.3沟通测
3、量结果1810信息安全测量方案的评价和改进1910.1概述1910.2识别信息安全测量方案的评价准则1910.3监视、评审和评价信息安全测量方案2010.4实施改进20附录A(资料性附录)信息安全测量构造模板21附录B(资料性附录)测量构造示例23参考文献52前言本标准照GB/T 1.1-2009和GB/T 20000.2-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准使用翻译法等同采用国际标准ISO/IEC 27004:2009信息技术 安全技术 信息安全管理 测量(英文版)。根据国情和GB/T1.1的规定,做了一些编辑性修改,主要
4、是在引言部分增加了有关信息安全管理体系标准族情况的介绍。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、山东省计算中心、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、北京信息安全测评中心本标准主要起草人:上官晓丽、周鸣乐、李刚、许玉娜、顾卫东、闵京华、赵章界、董火民、李旺、史艳华,李敏,张建成,韩庆良引言0.1 总则信息安全管理体系标准族(Information Security Management System,简称ISMS标准族)是国际信息安全技术标准化组织(ISO/IEC JTC1 SC27)制定的信息安全管
5、理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。ISMS标准族包括的标准:a)定义了ISMS的要求及其认证机构的要求;b)提供了对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐述了ISMS的一致性评估。目前,ISMS标准族由下列标准组成:GB/T 292462012信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC 27000:2009)GB
6、/T 220802008信息技术安全技术信息安全管理体系要求(ISO/IEC 27001:2005)GB/T 220812008信息技术安全技术信息安全管理实用规则(ISO/IEC 27002:2005)GB/T BBBBBBBBB信息技术安全技术信息安全管理体系实施指南(ISO/IEC 27003:2010)(本标准)信息技术安全技术信息安全管理 测量(ISO/IEC 27004:2009)GB/T DDDDDDDDD信息技术安全技术信息安全风险管理(ISO/IEC 27005:2008)GB/T 250672010信息技术安全技术信息安全管理体系审核认证机构的要求(ISO/IEC 2700
7、6:2007)ISO/IEC 27007:2011信息技术安全技术信息安全管理体系审核指南ISO/IEC TR 27008:2011信息技术安全技术信息安全控制措施审核员指南ISO/IEC 27010:2012信息技术安全技术行业间及组织间通信的信息安全管理ISO/IEC 27011:2008信息技术安全技术基于ISO/IEC 27002的电信行业组织的信息安全管理指南ISO/IEC 27013:2012信息技术安全技术ISO/IEC 27001和ISO/IEC 20000-1集成实施指南ISO/IEC 27014:201x信息技术安全技术信息安全治理ISO/IEC TR 27015:2012
8、信息技术安全技术金融服务信息安全管理指南为了评估按照GB/T 22080-2008规定的已实施的信息安全管理体系(Information Security Management System,简称ISMS)和控制措施或控制措施组的有效性,本标准提供了如何编制测度和测量以及如何使用的指南。为了有助于决定ISMS过程或控制措施是否需要改变或改进,本标准涉及方针策略、信息安全风险管理、控制目标、控制措施、过程和规程,并且支持其校验过程。切记任何控制措施的测量都不能保证绝对安全。本标准的实施形成了信息安全测量方案。信息安全测量方案将有助于管理者识别和评价不相容的、无效的ISMS过程和控制措施,并优化改
9、进或改变这些过程和(或)控制的活动。它也可有助于组织证明GB/T 22080-2008的符合性,并提供管理评审和信息安全风险管理过程的额外证据。本标准假设:制定测度和测量的出发点是按照GB/T 22080-2008要求充分掌握了组织所面临的信息安全风险,并假设已经正确实施了组织的风险评估活动(即基于GB/T DDDDDDDDD)。信息安全测量方案将鼓励组织向利益相关者提供可靠的关于信息安全风险和管理这些风险已实施的ISMS的状况的信息。通过有效地实施信息安全测量方案,将提高利益相关者对测量结果的信任,并能使其利用这些测度实现对信息安全和ISMS的持续改进。累积的测量结果将允许把一段时间内实现信
10、息安全目标的进展当作组织的ISMS持续改进过程的一部分。0.2 管理概述GB/T 22080-2008要求组织“在考虑有效性测量结果的基础上,进行ISMS有效性的定期评审”,并且“测量控制措施的有效性,以验证安全要求是否得到满足”。GB/T 22080-2008也要求组织“确定如何测量已选控制措施或控制措施组的有效性,并指明如何用这些测量措施来评估控制措施的有效性,以产生可比较的和可再现的结果。”组织用以满足GB/T 22080-2008规定的测量要求所采用的方法,将基于一些重要因素而变化,包括组织所面临的信息安全风险、组织规模、可用的资源、适用的法律法规、规章和合同要求。为了防止过多的资源被
11、用于ISMS的一些活动而损害其他活动,慎重选择和证明用于满足测量要求的方法是非常重要的。理想情况下,持续的测量活动将把组织的正常运作和最小的额外资源需求结合在一起。为满足GB/T 22080-2008规定的测量要求,本标准建议基于以下活动:a) 制定测度(即基本测度,导出测度和指标);b) 实施和运行信息安全测量方案;c) 收集和分析数据;d) 产生测量结果;e) 与利益相关者沟通产生的测量结果;f) 将测量结果作为ISMS相关决策的有利因素;g) 用测量结果识别已实施的ISMS的改进需要,包括ISMS的范围、策略、目标、控制措施、过程和规程; h) 促进信息安全测量方案的持续改进。组织规模是
12、影响组织完成测量的能力的因素之一。一般来说,业务的规模和复杂性,以及信息安全的重要性,都会影响需要的测量程度,其中测量程度是针对已选的测度数量,以及收集和分析数据的频率来说的。对于中小型企业来说,一个不太全面的信息安全测量方案就足够了。而对大型企业,则需要实施和运行多个信息安全测量方案。单个信息安全测量方案可满足小型组织,而大型企业可能需要多个信息安全测量方案。本标准产生的文件,有助于证明正在被测量和评估的控制措施的有效性。51信息技术 安全技术 信息安全管理 测量1 范围为了评估按照GB/T 22080-2008规定实施的信息安全管理体系(Information Security Manag
13、ement System,简称ISMS)和控制措施或控制措施组的有效性,本标准提供了如何编制测度和测量以及如何使用的指南。本标准适用于各种类型和规模的组织。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2005,IDT)GB/T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:2009,IDT)3 术语和定义GB/
14、T 29246-2012中界定的以及下列术语和定义适用于本文件。3.1 分析模型 analytical model 将一个或多个基本和/或导出测度关联到决策准则的算法或计算。 GB/T 20917-2007 3.2 属性 attribute可由人或自动化工具定量或定性辨别的对象特征或特性。 GB/T 20917-2007 3.3 基本测度 base measure 用某个属性及其量化方法定义的测度。GB/T 20917-2007 注: 一个基本测度在功能上独立于其它测度。3.4 数据 data赋予基本测度、导出测度和(或)指标的值的集合。 GB/T 20917-20073.5 决策准则 dec
15、ision criteria用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标性能或模式。GB/T 20917-2007 3.6 导出测度 derived measure定义为两个或两个以上基本测度的函数的测度。GB/T 20917-2007 3.7 指标 indicator为由规定信息需要的相关分析模型导出的指定属性提供估算或评价的测度。3.8 信息需要 information need针对目标、目的、风险和问题的管理,所表达的必要见解。 GB/T 20917-2007 3.9 测度 measure通过执行一次测量赋予对象属性的数或类别。GB/T 20917-2007
16、注: 术语“测度”是基本测度、导出测度和指标的统称。例如,测量出的缺陷率与规划的缺陷率之间的比较,其差异就与指示一个问题的评估紧密联系在一起。3.10 测量 measurement使用测量方法、测量函数、分析模型和决策准则来获取有关ISMS和控制措施有效性信息的过程。3.11 测量函数 measurement function为组合两个或两个以上基本测度而执行的算法或计算。GB/T 20917-2007 3.12 测量方法 measurement method一般描述为,用于以指定的标度量化属性的逻辑操作序列。GB/T 20917-2007注: 测量方法类型取决于用来量化属性的操作本质。可分为
17、两种类型:主观类涉及人为判断的量化;客观类基于数字规则的量化。3.13 测量结果 measurement results处理某信息需要的一个或多个指标及其相应的解释。3.14 对象 object通过对其属性的测量所表征出来的项。3.15 标度 scale值的一个有序集合,连续的或离散的;或由属性所映射的一个范畴集合。 GB/T 20917-2007 注: 依赖标度值之间关系的本质,标度类型通常定义为以下四种:标称型标度测量值是范畴化的。顺序型标度测量值是序列化的。间距型标度对应该属性等同的量,测量值具有该等同量的距离。比率型标度对应该属性等同的量,测量值具有该等同量的百分比,其中若该值为零,则
18、对应无该属性。这些只是标度类型的示例。3.16 测量单位 unit of measurement按约定定义和采用的具体量,其它同类量与这个量进行比较,用以表示它们相对于这个量的大小。GB/T 20917-2007 3.17 确认 validation通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。3.18 验证 verification通过提供客观证据对规定要求已得到满足的认定。GB/T 19000-2008 注: 又称为“符合性测试”。4 本标准的结构为了按照GB/T 22080-2008的4.2要求管理充分和适当的安全控制措施,本标准提供了评估ISMS要求的有效性所需要的测度和
19、测量活动的解释。本标准由以下部分构成: 信息安全测量方案和信息安全测量模型的概述(第5章); 信息安全测量的管理职责(第6章); 信息安全测量方案中实施的测量构造和过程(即计划和制定、实施和运行、改进测量:沟通测量结果)(第7-10章)。此外,附录A提供了信息安全测量构造的一个示例模板,测量构造的组成部分是信息安全测量模型的元素(见第7章)。附录B使用附录A给出的模板,为特定的ISMS控制措施或过程提供了测量构造示例。这些示例的目的是帮助组织实施信息安全测量,并记录测量活动和结果。5 信息安全测量概述5.1 信息安全测量目标在信息安全管理体系的背景下,信息安全测量的目标包括如下几个方面:a)
20、评价已实施的控制措施或控制措施组的有效性(见图1中的4.2.2 d));b) 评价已实施的ISMS的有效性(见图1中的4.2.3 b));c) 验证满足已识别的安全要求的程度(见图1中的4.2.3 c));d) 在组织的总体业务风险方面,促进信息安全执行情况的改进;e) 为了便于做出ISMS相关的决策,并证明已实施的ISMS所需的改进,为管理评审提供输入。针对GB/T 22080-2008规定的规划-实施-检查-处置(PDCA)循环,图1给出了相关的测量活动及其它们周期性输入-输出之间的关系。图中每个数字代表GB/T 22080-2008中的相应章节。图1 信息安全管理的ISMS PDCA循环
21、中的测量输入和输出组织为了建立测量目标,宜考虑下列因素:a) 在支持组织的总体业务活动中,信息安全的角色及其面临的风险; b) 适用的法律法规、规章和合同要求;c) 组织结构;d) 实施信息安全测量的成本和效益;e) 组织的风险接受准则;f) 需要进行比较的同一组织的ISMS。5.2 信息安全测量方案为了便于实现既定的测量目标,组织宜建立并管理一个信息安全测量方案,并且在组织的整体测量活动中采用PDCA模型。为了便于获得可重复的、客观的和有用的测量结果,组织也宜基于信息安全测量模型(见5.4)制定和实施测量构造。为了识别改进已实施的ISMS的需要,信息安全测量方案和已制定的测量构造宜确保组织有
22、效地达到目标和可重复测量,并为利益相关者提供测量结果。这些改进需要包括ISMS的范围、策略、目标、控制措施、过程和规程。一个信息安全测量方案宜包括以下过程:a) 测度和测量的制定(见第7章);b) 测量运行(见第8章);c) 数据分析和测量结果报告(见第9章);d) 信息安全测量方案的评价和改进(见第10章)。宜通过考虑ISMS的规模和复杂性来确定信息安全测量方案的组织结构和运行结构。在任何情况下,信息安全测量方案的角色和职责宜明确赋予能胜任的人员(见7.5.8)。信息安全测量方案所选取和实施的测度宜直接与一个ISMS的运行、其它测度以及组织的业务过程相关。测量应被纳入定期的运行活动或按照IS
23、MS管理者所确定的时间间隔定期执行。5.3 成功因素为了有助于ISMS的持续改进,信息安全测量方案成功的一些因素如下:a) 管理者有关适当资源的承诺;b) 现有的ISMS过程和规程;c) 为了提供一段时间内的相关趋势,一个能够获取和报告有意义数据的可重复过程;d) 基于ISMS目标的可量化的测度;e) 容易获取的、可用于测量的数据; f) 对信息安全测量方案的有效性评价,以及实现所识别的改进;g) 以一种有意义的方式,持续的定期收集、分析和报告测量数据;h) 利益相关者使用该测量结果来识别改进已实施的ISMS的需要, 包括ISMS的范围、策略、目标、控制措施、过程和规程;i) 从利益相关者那里
24、接受有关测量结果的反馈;j) 评价测量结果的有用性,并实现所识别的改进。一旦信息安全测量方案被成功实施,它就可以:1)证明组织对适用法律或法规的要求和合同义务的符合性;2)支持对以前未被发现的或未知的信息安全问题的识别;3)当说明历史和当前活动的测度时,协助满足管理报告的需要; 4)用作信息安全风险管理过程、内部ISMS审核和管理评审的输入。5.4 信息安全测量模型注: 本标准采用的信息安全测量模型和测量构造的概念都是基于GB/T 20917-2007中的概念。本标准中使用的术语“测量结果”是GB/T 20917-2007中“信息产品”的同义词,本标准中使用的“测量方案”是GB/T 20917
25、-2007中“测量过程”的同义词。5.4.1 概述信息安全测量模型是将信息需要和相关测量对象及其属性关联的结构。测量对象可包括已计划的或已实施的过程、规程、项目和资源。信息安全测量模型描述如何将相关属性进行量化并转换为指标,以提供决策依据。图2给出了信息安全测量模型。图2 信息安全测量模型注: 第7章提供了关于信息安全测量模型的各个元素的详细信息。本章接下来介绍模型的各个元素,并给出如何使用这些元素的示例。表1至表4的示例中使用的信息需要或测量意图,是用于评估相关人员符合组织安全策略的意识状态(GB/T 22080-2008中控制目标A.8.2、控制措施A.8.2.1和A.8.2.2)。5.4
26、.2 基本测度和测量方法基本测度是可获得的最简单的测度。基本测度是通过对一个测量对象所选择的属性应用一个测量方法而产生的。一个测量对象可能有许多属性,但只有部分属性可提供赋予基本测度的有用值。对于不同的基本测度,可使用一个给定的属性。测量方法是一种逻辑操作序列,用于按指定标度量化属性。操作可能涉及到例如统计出现次数或观测时间推移之类的活动。一个测量方法能应用于一个测量对象的多个属性。例如,测量对象可以是: ISMS中已实施的控制措施的执行情况; 受控制措施保护的信息资产的状况; ISMS中已实施的过程的执行情况; 已实施的ISMS责任人的行为; 信息安全责任部门的活动; 感兴趣方的满意程度。一
27、个测量方法可以使用来自不同源测量和属性的测量对象,例如: 风险分析和风险评估结果; 问卷调查和人员访谈; 内部和(或)外部审核报告; 事件记录,如日志、报告统计和审计轨迹; 事件报告,特别是那些产生影响的事件的报告; 测试结果,如来自渗透试验、社会工程、符合性测试工具和安全审计工具的结果; 与规程和方案相关的组织信息安全记录,如信息安全意识培训结果。表1-4 给出了在以下控制措施上信息安全模型的应用: “控制措施2”指的是GB/T 22080-2008的控制措施A.8.2.1管理职责(“管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力”);被实施为“与ISM
28、S相关的所有人员在被授权访问一个信息系统前必须签署用户协议”; “控制措施1”指的是GB/T 22080-2008的控制措施A.8.2.2“信息安全意识、教育和培训”(“适当时,包括承包方人员和第三方人员在内的组织的所有雇员,应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训”);被实施为 “所有ISMS相关人员在被授权访问一个信息系统前必须接受信息安全意识培训”。相应的测量构造包含在B.1内。注: 表1-4由不同列组成(表1有4列;表2-4有3列),其中各列被指定一个字母代号。每列中的方格被指定一个数字代号。字母和数字代号的组合被用于随后的方格,以便于参考之前的方格。箭
29、头代表本示例中信息安全测量模型的个体元素之间的数据流。为了测量以上描述的已实施控制措施所建立的对象,表1给出了测量对象、属性、测量方法以及基本测度之间关系的一个示例。表1 基本测度和测量方法示例5.4.3 导出测度和测量函数导出测度是两个或两个以上基本测度的聚集。一个给定的基本测度可作为多个导出测度的输入。测量函数是用于组合两个或两个以上基本测度,以生成一个导出测度的计算。导出测度的标度和单位取决于组合的基本测度的标度和单位,以及测量函数组合这些基本测度的方法。测量函数可涉及到多种技术,例如求基本测度的平均值、对基本测度进行加权、或给基本测度指定定性值。测量函数可使用不同的标度来组合基本测度,
30、例如使用百分比和定性的评估结果。就信息安全测量模型的应用,进一步涉及到基本测度、测量函数和导出测度等元素,表2给出了它们之间关系的一个示例。表2 导出测度和测量函数的示例5.4.4 指标和分析模型指标是一个测度,该测度依据一个分析模型,针对所定义的信息需要,提供所规约属性的一个估算和评价。指标是通过应用一个分析模型于一个基本和/或导出测度,并把它们与决策准则进行组合而获得的。标度和测量方法影响用于产生指标的分析技术的选择。表3给出了信息安全测量模型应用的导出测度、分析模型和指标之间关系的一个示例。表3 指标和分析模型的示例注:如果一个指标是以图形形式给出的,那么就要使之对残疾用户是可用的,或可
31、用于单色拷贝。为此,宜尽可能使该指标包括颜色、暗影、铅字或其它可视化方法。5.4.5 测量结果和决策准则测量结果是基于确定的决策准则,通过解释适当的指标而产生的,并宜在评估ISMS有效性的整体测量目标的背景下来考虑。决策准则的目的是确定是否需要采取措施或进一步调查,同时用于描述给定测量结果的可信度。决策准则可适用于一系列的指标,例如基于在不同时间点获得的指标,进行趋势分析。目标性能为组织或其部门提供了一种可用的、详细的性能规约。该目标性能来自信息安全目标(例如ISMS目标和控制目标),以及为了实现这些目标,需要建立和实现该目标性能。表4给出了信息安全测量模型应用的指标、决策准则和测量结果之间关
32、系的一个示例。表4 测量结果和决策准则的示例6 管理职责6.1 概述管理者负责建立信息安全测量方案、吸纳利益相关者(见7.5.8)参与测量活动、接受测量结果作为管理评审的输入以及在ISMS改进活动中使用测量结果。为了完成上述职责,管理者宜:a) 确定信息安全测量方案的目标;b) 制定信息安全测量方案的策略;c) 建立信息安全测量方案的角色和职责;d) 提供足够的资源来执行测量,包括人员、资金、工具和基础设施;e) 确保信息安全测量方案的目标得以实现;f) 确保用于收集数据的工具和设备能够得到适当维护;g) 为每一个测量构造建立测量意图;h) 确保测量就ISMS有效性和已实施的ISMS的改进需求
33、为利益相关者提供充足的信息,包括ISMS的范围、策略、目标、控制措施、过程和规程;i) 确保测量就控制措施或控制措施组的有效性和改进已实施的控制措施的需求为利益相关者提供充足的信息。通过适当分配测量角色和职责,管理者宜确保测量结果不受信息拥有者(见7.5.8)的影响。这可通过职责分离来实现,或者可借助能够进行独立检查的详细文件来实现。6.2 资源管理为了支持测量必需的活动,例如数据收集、分析、存储、报告和发布,管理者宜分配和提供相应的资源。资源分配宜包括:a) 负责信息安全测量方案的各个方面的人员支持;b) 适当的资金支持;c) 适当的基础设施支持,例如用于执行测量过程的物理基础设施和工具。注
34、: GB/T 22080-2008中5.2.1规定了提供ISMS实施和运行所需资源的要求。6.3 测量培训、意识和能力管理者宜确保:a) 对已实施的信息安全测量方案,利益相关者(见7.5.8)在实现其角色和职责方面得到充分的培训,并且有能力执行其角色和职责;b) 利益相关者了解其责任,包括为改进所实施的信息安全测量方案提出建议的责任。7 测度和测量的制定7.1 概述为了评估已实施的ISMS和控制措施或控制措施组的有效性,并识别组织特定的测量构造集合,本章给出了如何编制测度和测量的指南。宜建立编制测度和测量所需的活动,并应建立相应的文件。活动包括:a) 定义测量范围(见7.2);b) 识别信息需
35、要(见7.3);c) 选择测量对象及其属性(见7.4);d) 制定测量构造(见7.5);e) 应用测量构造(见7.6);f) 确定数据收集和分析过程及报告(见7.7);g) 确定测量实施途经和相应的文件(见7.8)。在建立这些活动时,组织宜考虑资金、人力和基础设施(物理的和工具)资源。7.2 测量范围的定义由于组织能力和资源的缘故,测量活动的初始范围将受限于诸如特定的控制措施、受特定控制措施保护的信息资产、管理者给出最高优先级的特定信息安全活动等因素。随着时间的推移,考虑到利益相关者的优先级,为了处理已实施的ISMS和控制措施或控制措施组的深层要素,测量活动的范围还将可能扩大。宜识别利益相关者
36、,并宜使其参与到测量范围的定义之中。利益相关者可以是组织内部的或外部的,例如项目管理者、信息系统管理者或信息安全决策者。宜确定用于强调单个控制措施或控制措施组有效性的特定测量结果,并与利益相关者进行沟通。为了确保决策者有能力根据报告的测量结果有效改进ISMS,组织可考虑限制在给定时间间隔内向决策者报告的测量结果数量。因为报告的测量结果过多,会影响决策者集中精力和对未来改进活动进行优先级排序的能力。宜根据相应的信息需要及其相关ISMS目标的重要性来对测量结果进行优先级排列。注: 测量范围是与根据GB/T 22080-2008中 4.2.1 a)确定的ISMS范围相关的。7.3 信息需要的识别每一
37、个测量构造宜至少符合一个信息需要。附录A给出了一个信息需要的例子,该信息需要始于测量意图,终于相关的决策准则。为了识别相关的信息需要,宜执行以下活动:a) 检查ISMS及其过程,例如:1) ISMS策略和目标、控制目标和控制措施;2) 法律法规、规章、合同和组织上的信息安全需要;3) GB/T 22080-2008中描述的信息安全风险管理过程结果。b) 基于以下准则对已识别的信息需要进行优先级排序,例如:1) 风险处置优先级;2) 组织的能力和资源;3) 利益相关者的利益;4) 信息安全策略;5) 满足法律法规、规章和合同所需的信息;6) 相对于测量成本的信息价值;c) 为优先级列表中所强调的
38、测量活动,选择所需要的信息子集; d) 建立所选的信息需要的文件,并与所有利益相关者进行沟通。宜根据所选的信息需要实施所有相关测度,这些测度是应用于已实施的ISMS、控制措施或控制措施组的。7.4 对象及其属性的选择宜在ISMS整体背景和范围内识别测量对象及其属性。宜注意一个测量对象可能有多个可用的属性。测量用的对象及其属性宜根据相应信息需要的优先顺序来选择。赋予相关基本测度的值是通过对所选属性应用适当的测量方法获得的。这一选择宜确保: 能识别相关基本测度和适当的测量方法; 基于获取值和已制定的测度,产生有意义的测量结果。已选属性的特征决定了使用何种类型的测量方法(如定性或定量),以获取赋予基
39、本测度的值。宜建立已选对象和属性的文件,并给出选择依据。描述测量对象及其相应属性的数据宜用作赋予基本测度的值。测量对象的例子包括但不限于: 产品和服务; 过程; GB/T 22080-2008(A.7.1.1 资产清单)中已识别的可用资产,例如设施、应用和信息系统; 业务单位; 地理位置; 第三方服务。宜评审属性以确保:a) 为测量选择了适当的属性;b) 已确定了的收集数据能够为有效测量提供足够数量的属性。宜选取仅与相应基本测度有关的属性。虽然属性的选择宜考虑在获取要测属性的难度,但不宜仅选择那些容易获得的数据或容易测量的属性。7.5 测量构造的制定7.5.1 概述从7.5.2(测度选择)到7
40、.5.8(利益相关者)给出了测量构造的制定方法。7.5.2 测度选择宜识别可能满足已选信息需要的测度。为了实施所选择的测度,宜足够详细地定义已识别的测度。新识别的测度可涉及到现有测度的改变。注: 基本测度的识别是与测量对象及其属性的识别密切相关的。宜选择可能满足已选信息需要的已识别的测度。也宜考虑解释或规范测度必需的背景信息。注: 可以选择许多不同的测度组合(即基本测度、导出测度和指标)用于处理特定的信息需要。已选测度宜反映信息需要的优先顺序。更多可用于选择测度的示例准则包括: 数据容易收集; 为收集和管理数据,人力资源具有可用性; 具有可用的适当工具; 基本测度支持的潜在相关指标的数量; 容
41、易解释; 已制定的测量结果的用户数量; 该测度适合意图或信息需要的证据; 收集、管理和分析该数据的成本;7.5.3 定义测量方法宜为每个基本测度定义一种测量方法。测量方法通过把属性变成赋予基本测度的值来量化测量对象。测量方法可以是主观或客观的。主观方法依赖于涉及人为判断的量化;而客观方法使用基于诸如计算的数值规则的量化,可通过人工或自动化手段予以实现。测量方法通过应用适当的标度将属性量化为值。每个标度都有测量单位。只用同一测量单位表示的量可以直接进行比较。对于每个测量方法,宜建立验证过程,并建立相应的文件。验证宜确保通过对测量对象的属性应用一个测量方法得到的、并赋给基本测度的值的可信度。需要确
42、定有效值时,用来获取属性的工具宜被标准化,并在规定的时间间隔内对其进行验证。宜考虑测量方法的精度,并宜记录相关的偏差或变化。为了便于在不同时间赋给基本测度的值是可比较的,赋给导出测度和指标的值也是可比较的,测量方法宜在整个时间内是一致的。7.5.4 定义测量函数宜为每个导出测度定义一个测量函数,应用该函数对两个或两个以上基本测度进行赋值。通过测量函数把对一个或多个基本测度的赋值变成对一个导出测度的赋值。在某些情况下, 除了导出测度外,基本测度可直接作为分析模型的输入。测量函数(例如一个计算)可能涉及多种技术,例如计算所有基本测度的赋值的平均值、对基本测度的赋值进行加权,或在把基本测度聚合成导出
43、测度之前,给基本测度的赋值指定定性值。测量函数可采用不同标度来组合基本测度的赋值,例如采用百分比和定性评估结果。7.5.5 定义分析模型宜为每个指标确定分析模型,以便将一个或多个赋给基本测度和(或)导出测度的值转换成对该指标的赋值。分析模型以一种对利益相关者产生有意义输出的方式,对相关测度进行组合。当定义分析模型时,也宜考虑应用于指标的决策准则。有时,一个分析模型可能是相当简单的,只是把一个导出测度的值转换成赋予一个指标的值。7.5.6 指标的生成通过聚合赋予导出测度的值来产生赋予指标的值,并基于决策准则解释这些值。对于报告给用户的每个指标,宜定义指标表达格式,作为报告格式的一部分(见7.7)
44、。指标表述格式将直观地描述测度,并提供指标的逐字说明。指标表述格式宜客户化,以便满足客户的信息需要。7.5.7 定义决策准则宜基于信息安全目的,对每一个指标,定义相应的决策准则,以便为利益相关者提供措施方面上的指南。这一指南宜基于指标,强调期望的进展以及初始改进措施的阈值。决策准则建立了一个性能目的,通过这一性能目的来度量测量方案的成功(见5.3),并提供有关解释该指标是否接近该目标的指导。宜对ISMS过程和控制性能、达到的目的以及对该ISMS的有效性评估等每一项,建立相应的性能目的。管理者在初始数据收集之前可以不建立有关指标的性能目标。一旦识别了基于初始数据的纠正措施,那么就可以为一个特定的
45、ISMS定义实际可用的决策准则和实施里程碑。如果在一个点上没有建立决策准则,那么管理者就宜评价该测量对象及其对应的测度是否为组织提供了所期望的值。如果历史数据就开发的或选择的测度是可用的话,那么建立决策准则就可能是服务性的。过去所观察的趋势将提供以前存在的性能程度的见解,并指导创建实际可用的决策准则。决策准则可以计算出来,或基于所期望行为的概念上的理解。决策准则可以从历史数据、计划和直觉中导出,或按统计上的控制限度或统计上的可信度限度计算出来。7.5.8 识别利益相关者宜为每个基本和/或导出测度识别适当的利益相关者,并建立相应的文件。利益相关者可包括:a) 测量委托人:要求或需要关于ISMS、控制措施或控制措施组的有效性的信息的管理者或其他相关方;b) 测量评审人:确认已制定的测量构造是否适合于评估ISMS、控制措施或控制措施组的有效性的人员或部门;c) 信息拥有人:拥有关于测量对象及其属性的信息,并且负责该测量的人员或部门;d) 信息收集人:负责收集、记录和存储数据的人员或部门;e) 信息沟通人:负责分析数据并负责沟通测量结果的人员或部门。7.6 测量构造的应用在应用测量构造中,其规约至少宜包括如下信息:a) 测量目的;b) 要测量的控制措施、特定控制措施、一组控制措施以及