a) 负责风险管理过程的人员,特别是在发现风险评估或风险处置失败之处; b) 管理层,为了识别有待改进之处; c) 提供任何反馈的信息拥有者。
测量可能需要发布给外部利益相关方,包括上级单位、股东、顾客和供应商。外部报告不应像内部报告那样详细,应仅包含适合外部使用的数据。外部报告在发布之前,应由组织内的管理层和其他适当方进行评审。
10. 测量项目评价和改进 10.1 概述
测量项目应该被评价和改进,以确保测量项目:
a) 以一种有用和有效的方式,持续满足组织对信息安全测量的要求; b) 是否按计划执行;
c) 符合对威胁和脆弱性的变更;以及
d) 符合对环境的变更(例如:需求、法律和技术)。
证实的结果应能提供清晰的指示,关于对当前信息安全测量项目满足组织要求的程度,以及是否需要对测量项目作改进。
结果的实用性和获取它们的成本应依据测量项目的目标进行评价。评价的结果应该有助于决定是否当前信息安全测量项目满足组织要求的程度,或者是否需要作改进。
组织应明确评价的频率,计划周期性修订的时间段,并建立做这些可能修订的机制。 下面的步骤应被遵循:
a) 识别测量项目的评价准则(见10.2); b) 监控、评审和评价测量(见10.3);以及 c) 实施改进(见10.4)。
10.2 识别测量项目的评价准则
在初步实施后,组织评价测量结果的实用性和有效性,以及获取测量结果所需要的投入。测量结果能被评价前就应该建立评价准则。评价的目的是评估修改或改进测量项目的必要性。除了内部信息安全管理体系审计外,还可以进行外部审计来提供独立的第三方评估。组织应为审计确定适当的时间,以保证它们不会严重地干扰运行。
当有如下最有可能的条件出现时,组织应该再次评价并改进当前的信息安全测量项目: a) 业务目标和要求的变更; b) 威胁环境的变更;
25
c) 风险的变更;
d) 用于测量的更完善或合适数据的增多;
e) 在组织的背景下,被用来测量的测量对象和属性的变更;以及 f)
法律、法规和其它外部要求的变更。
以下准则可以用来评价测量结果: a) 测量结果对于改进信息安全是有用的; b) 测量结果符合信息需要。
如果收集的测量结果在整体上对于改进组织的信息安全是有用的,那么测量项目是有效的。
10.3 监控、评审与评价测量项目
在依据10.2的准则初步实施后,以及在基础系统或相应业务目标发生重大变更时,包括所有的测度、指标、决策准则和测量结果在内的测量项目,应该被监控、评审和评价。潜在的改进可以被识别,包括:
a) 按照已建立的准则修正测度;
b) 去除或替换不再适合的测度、指标和决策准则; c) 确保分配充足的资源来支持测量项目; d) 识别测量项目所需的改进,并计划实施;
e) 记录管理层的决策,以允许以后各测量的比较和趋势分析。
监控、评审和评价测量项目的结果应该向管理层沟通,以便对必要的改进和测度今后的使用做出决策。管理层的决策和测量项目改进的结果应该向合适的利益相关者沟通。
利益相关者应该根据测度对其的有用性给出反馈,这种反馈将为信息安全测量项目的评价提供输入。
10.4 实施改进
已识别的改进应被管理层正式记录和批准。管理层应保证按计划实施改进。 组织可以使用项目管理技术来完成改进。
26
附录A(资料性附录) 信息安全测量模板
附录A提供了信息安全测量的模板,包含了5.3节描述的需要在7.5节识别的所有组件。组织可以根据自己的需求修改该模板。 测度识别 测度名 数字识别码 控制目标 控制措施(1) 控制措施(2)… 测量目的 评审者 测量对象和属性 测量对象 测度名 特定组织的唯一识别码。 待测量的控制目标(计划的或实施的)。 可选的:待测量的控制措施(计划的或实施的)。 可选的:按相同测度分组的进一步控制措施(计划的或实施的)。 描述引入测度的原因。 人员或组织单位,评审测量评价准则是否适合于证实控制措施和信息安全管理体系的有效性。 待测量的并可通过属性的可测量性给出特征的对象。对象可以包括过程、系统或系统组件。 属性 测量对象的属性或特征,能通过手工或自动化手段被定性或定量地区分。 基本测度规范(对每个基本测度[2…n]) 基本测度 基本测度是用某个属性及其量化方法定义的测度(如,被培训人员的数量,场地数量,当前累计花费)。当数据被采集时,对基本测度赋予一个值。 测量方法 操作的逻辑序列,定义计数规则来计算每个基本测度。对基本测度来说,通过测量方法将获取到测量数据,包括精度、标度和测量单位。 标度 被用在基本测度上的值或类别的有序集合。 导出测度规范 导出测度 由两个或两个以上基本测度的函数导出的测度。 测量函数 被用来计算导出测度的逻辑操作序列。对导出测度来说,通过测量函数相应基本测度得到聚合,导致累计的精确性。 标度 被用在基本测度上的值或类别的有序集合。 指标规范 指标描述和范例 一个或多个测度(基础和导出)的显示,提供对由规定信息需要的相关模型导出的指定属性的估算或评价。 指标常显示为图或图表。包括指标的梗概。 分析模型 将一个或多个基本测度和/或导出测度与相关决策准则组合在一起的算法或计算。 决策准则 用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标或模式。 指标解释 描述指标范例应该如何被解释。 效果/影响 指标所获得的结果带来的效果和影响的定义 偏离原因 在所获得结果中可能导致偏离的原因的定义 正向值 指定了值的升高是否会带来正向的价值(好的结果),或者是值27
报告格式 的降低是否会带来正向的价值 报告格式应被识别和记录。描述组织或信息所有者希望记录的观察。报告格式将可视地描述测度并提供对指标的言语解释。报告格式应根据信息顾客来定制。 数据多久收集一次。 拥有关于能被用来创建基本测度的测量对象和属性相关信息的人员或组织单位,以及负责测量的人员 负责采集、记录、存储数据的人员或组织单位 列出被用来收集数据的任何工具(如,脆弱性扫描器) 列出数据收集后存储的任何工具(如,数据库) 应该获取数据的日期 定义数据记录的规程(规程链接) 修订日期(失效或需要重新验证) 定义测量的周期 数据多久报告一次(可能不如数据收集频繁)。 负责分析数据和报告结果的人员或组织单位 列出分析所用的数据源 列出被用来分析的任何工具(如,统计工具) 提出请求并需要测度来支持其业务功能的个人或组织单位 提供关于测度变化的其他指南。 列出对成功实施必要的过程或实施要求。 数据收集规程 收集频率 信息所有者 信息收集者 数据收集工具 数据收集库 收集日期 数据记录规程 测量值有效期 分析周期 数据分析规程 数据报告频率 信息沟通者 分析数据源 分析工具 信息客户 附加信息 附加分析指南 实施考虑 28
相关推荐:
loading