张立伟
[摘 要] 随着信息系统在企业中的广泛应用,信息安全问题越来越为严峻,信息安全管理有效性测量是通过对企业信息安全风险进行评估,得出企业信息安全控制水平是否能保障信息系统安全的结论,对提高企业信息安全管理水平极为重要。本文就信息安全管理有效性的测量进行了研究,可供信息安全管理有效性测量实践参考。
[关键词] 信息安全;有效性;安全测量
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 10. 056
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)10- 0078- 01
1 引 言
在人类进入21世纪以后,计算机、网络、信息技术被大量应用于企业经营管理之中,其中包含很多企业机密信息,对企业经营发展极为重要,一旦出现安全问题甚至直接影响企业的生存发展。不少企业在信息系统的应用中,开始越来越重视信息安全问题,并采用多种技术和手段来提升企业信息安全能力,加强企业信息安全管理工作。但企业信息安全管理是否有效,信息安全管理能达到什么样的安全水准,这却是一个极容易模糊的问题。如果企业只重视信息安全技术与手段方面的建设,而不关注于信息安全管理有效性的评估,将会留下很多漏洞和缺陷,因此信息安全管理有效性测量极为重要。近年来,我国企业管理者对信息安全管理有效性测量的需求越来越大,但信息安全管理有效性测量才刚刚起步,还有很多不足和不完善的地方。本文就信息安全管理有效性的测量进行研究,旨在形成更为明晰的信息安全管理有效性测量体系,提高信息安全管理有效性测量水平。
2 测量目的和测量指标
2.1 信息安全管理有效性测量目的
信息安全管理有效性测量的根本目的,是评估企业信息安全管理的真实水平。在企业建立信息系统时,通常都会依据企业的发展需要、组织结构、信息组成、利益关系、安全标准等方面的要求,来设定企业信息系统的安全管理目标,构筑相应的安全管理体系和措施。对企业信息安全管理有效性进行测量,不仅可以对企业信息安全管理目标实现程度进行科学准确的评估,还能准确地评测企业信息安全管理系统的效能,作为企业信息安全管理考核的依据。实际上,如果不进行有效性测量,只依赖于信息系统安全测量标准来评估企业信息系统安全管理水平,将会造成极大的误差,甚至产生很多安全漏洞,使企业实际信息安全管理水平与所需达到的水平相差甚远,如果仅依赖于表面的数据将使这些漏洞和不足无法得到有效的解决,造成巨大的信息安全隐患。通过有效性测量,能更好地找出企业信息安全管理需要改进的地方,充分反应企业信息安全管理存在的问题和严重程度,为企业信息安全管理工作的改进提供依据。
2.2 信息安全管理有效性测量指标
信息安全管理不仅是国内企业的需要,也是国外企业的需要,相对来说,国外在信息安全管理方面的水平更高。目前,在国际上普遍采用ISO/IEC 27002作为信息安全管理标准,以此来实施信息安全管理,这一标准是当前最权威和最科学的信息安全管理标准,在这一标准中从信息安全方针、组织、管理等方面,提出了100余个控制措施,信息安全管理中可以根据企业的需要选择相应的措施进行信息安全管理,该标准所提出的措施, 基本覆盖了企业信息安全管理的各个方面。在构建信息安全管理有效性测量指标体系时,也可以按照ISO/IEC 27002标准进行,将测量内容分解为管理控制、运行控制、技术控制3个方面,并根据企业实际情况采用具有代表性、可测量的指标建立起测量指标集,对这些指标实施情况进行采集分析,再通过专家咨询评测最终得到企业信息安全管理有效性的具体指标,评估企业信息安全达到的水平,找出企业信息安全管理的不足。
3 测量方法和指标计算
3.1 测量方法
在信息安全管理有效性测量中,应当对指标进行量化处理,最终形成量化测量结果。不同的指标,所采用的测量方法并不相同,通常采用的测量方法有风险分析、风险评估、问卷调查、个人访谈、内部审核、报表统计、渗透性测试、内外对比等方法。对不同的指标采用相应的测量方法进行测量后,得到各指标的基本测度结果,再运用不同的技术对所获得的基本测度结果进行取值,赋予不同指标以不同的安全风险权重,最终算出企业信息安全管理有效性水平。例如在信息安全管理控制方面,需要对信息系统安全性,信息处理、信息传输、信息存储安全性进行评价,并评估这些风险可能对企业资产造成的威胁以及威胁程度,结合安全问题所涉及的资产价值来判断可能造成的影响,以评估信息安全管理控制的有效性,这其中,就需要将信息安全管理控制分解为多个指标进行测量,并根据对资产价值的影响能力赋予不同的权重和取值,才能最终确定出企业信息安全管理控制方面的有效性水平。再如在信息安全管理运行有效性方面,需要对人员安全、安全意识、环境安全、业务联系、事件管理等进行有效性评估,其中人员安全包括各个人员的安全评级和安全管理情况,安全意识包括企业安全教育、人员安全技术水平等,环境安全包括物理安全环境、技术安全环境等。
3.2 指标计算
在信息安全管理有效性测量中,各指标的在安全管理有效性中的权重并不相同,因此信息安全管理有效性测量结果,不是对各指标的测量结果进行简单相加,而是要对不同的指标赋予不同的权重,构建起评测矩阵,并充分考虑各指标之间的联系赋值,如极端重要、强烈重要、明显重要、稍微重要等,根据不同指标的权重进行重要性排序后,对其特征向量进行求解,确定各指标在企业信息安全管理中的影响能力。各指标的权重,并没有统一的标准,也不可能简单地借鉴其他企业的测量权重,根据不同企业有不同的特点,在进行测量时,应当有相当数量的专家参与权重赋值,在消除偶然因素的影响后建立起符合企业特点的指标权重体系,得出较为科学合理的指标权重,这样才能使最重的测量结果更为科学合理。
4 结束语
信息安全问题关系着企业的竞争发展,在企业信息安全管理中,并不是构建了先进的硬件平台和软件系统就能切实提高企业信息安全管理水平,还需要保证信息安全管理的有效性,因此信息安全管理有效性测量极为重要。不过当前我国信息安全管理有效性测量才刚刚起步,虽然有很多先进的国内外经验可供借鉴,但信息安全管理有效性测量有极大的个性化特点,需要根据不同企业采用不同的测量方法,建立起不同的指标体系,运用不同的权重赋值进行有效性评估,这样才能提高测量的科学性和合理性,降低测量误差。