注:也称为符合性测试
4 本标准的结构
除了为开发和使用测量提供了指南,以评估ISO/IEC 27001中所描述的信息安全管理体系(ISMS)过程、控制目标以及控制措施的有效性外,本国际标准还提供了对测量过程及其活动的描述。
对信息安全测量项目及其模型的概述和背景信息见第5节。管理职责见第6节。第7节到第10节描述了测量项目中的各过程(详见5.2)。
如何开发和记录测量的附加信息见附录。附录A提供了测量模板的范例,附录B提供了使用附录A中模板的测量范例。
5 信息安全测量概述 5.1 信息安全目标
在信息安全管理体系背景下,测量项目的目标可以包括: a) 评价所实施信息安全控制目标和控制措施的有效性; b) 评价信息安全管理体系有效性,包括持续改进循环; c) 基于组织整体业务风险,促进信息安全的性能改进;
d) 提供客观数据和分析,来帮助管理评审、辅助决策,以及向管理层证明控制措施的改
进;
e) 为安全审核提供输入;
f) 向相关的利益相关方沟通信息安全的有效性; g) 作为风险管理过程的输入;
h) 为对有效性的内部比较和内部打分提供信息;以及 i) 支持对所识别安全需求满足到何种程度的验证。 一个特定组织的测量项目应当基于大量的考虑,包括:
a) 在支持组织整体业务活动和所面临的风险方面,信息安全所扮演的角色; b) 基于客观测量的持续改进; c) 适用的法律、规章,以及合同要求; d) 组织的架构;
e) 实施信息安全测量的成本和收益;以及 f) 组织对风险的接受态度。
图1 解释了与ISO/IEC 27001中描述的PDCA循环相比,测量活动的输入-输入循环关系。
9
图1 PDCA循环中的测量输入与输出
为了达到信息安全测量所建立的目标,并在所有测量活动中实施PDCA循环,组织应该建立并管理一个信息安全测项目(见5.2)。为获得基于信息安全测量模型(见5.3)的可重复的、客观的和有用的结果,组织还应建立一个测量活动框架。
5.2 信息安全测量项目
一个信息安全测量项目通过使用测度,识别和评价信息安全管理体系的充分性和有效性,并对改进现有控制措施和整体信息安全管理体系的需求进行识别。
为了策划和组织多种和大量的测量,并为在一个指定的时间段和/或时期内有效和高效地执行测量提供资源,一个测量项目包括了所有必要的活动。组织可以建立一个以上的测量项目。
10
管理层应该为测量项目建立角色和职责。
一个测量项目应包括以下过程: a) 测度和测量的开发(见第7节); b) 测量的运行(见第8节);
c) 测度的分析和报告(见第9节);以及 d) 测量项目改进(见第10节)。 图2展示了测量项目管理的过程流。
图2 测量项目管理过程流示意图
通过测量的使用——信息安全测量项目的一个关键元素,可以对现有控制措施和过程进行评价来确定这些控制措施和过程是否充分和有效,或是这些控制措施和过程是否需要被改进或变更,从而改进整个信息安全管理体系。
为了成功达成信息安全管理体系的持续改进,信息安全测量项目应当考虑,例如,以下要素的适当组合:
a) 管理层的承诺并有适当资源支持; b) 信息安全管理体系各过程和规程的存在; c) 能够捕获和报告有意义数据的过程; d) 基于信息安全管理体系目标的定量安全测度;
11
e) 易于获取和测量的定量安全测度;
f) 一个可重复的过程,以提供一段时间的相关趋势; g) 一个有用的追踪过程,以支持有效地调配资源;
h) 以一种有意义的方式,一致、定期地收集、分析和报告测量数据;
i) 利益相关方使用信息安全管理体系测量结果,来改进现有信息安全管理体系过程和控
制措施的有效性;
j) 一个反馈环,以支持整体改进; k) 对所产生结果有用性的评价;以及
l) 风险管理过程的输入机制,来辅助对控制措施选择、实施以及资源分配的优先顺序。 一旦成功实施,信息安全测量项目能:
a) 展示组织与适用法律、法规、规章的符合性; b) 支持对以前未检测到的未知信息安全因素的识别;
c) 当描述历史和当前活动的测量时,有助于满足向管理层的报告需求;以及 d) 被用作信息安全管理体系内审和管理评审的输入。
5.3 信息安全测量模型
信息安全测量模型将单个的简单测度纳入更复杂的组合测度,从而提供全面的和一致的测量结果,可以不断重复地用于基准测试和比较。图3中描述了一个信息安全测量模型。通过应用该模型所开发的测量范例见附录B。
图3 信息安全测量模型
12
相关推荐:
loading