浅析信息安全管理体系有效性测量

董亦兵

一、ISO/IEC 27004：2016介绍

ISO/IEC 27004：2016由ISO/IEC于2016年12月15日发布了第二版，标准中文名称为“信息技术-安全技术-信息安全管理-监测、测量、分析和评价”，旨在协助组织评估ISMS的有效性，以满足ISO/IEC：2013，9.1：监视、测量、分析和评估要求。ISO/IEC 27004：2016通过一系列的指标用来评价组织ISMS的有效性，并通过系统性的测量方法支撑评估过程。下面简要介绍测量要素间的关系和ISO/IEC 27004：2016的测量指标体系。

（一） 测量要素间的关系

根据ISO/IEC 27004：2016标准，ISMS有效性测量工作分为监控、测量、分析和评价四个环节。测量要素间的关系如下：

第一，应明确测量需求。测量需求应反映信息安全管理关键流程、关键活动、关键控制的有效性，能折射管理成熟度。第二，在明确测量需求基础上，确定测量对象（实体），并选取测量对象适当的属性进行监控。测量对象属性应与测量目的保持一致，以满足测量需求。第三，采取适当的测量方法实施测量，包括基础测量和派生测量。定义适当的测度，通过对属性的度量，形成基础测量结果。围绕测量目的和测量需求，设计恰当的测量函数，将多个基础测量结果进行结合，形成派生测量结果。第四，设计测量指标。测量指标能直观反映测量需求，通常通过建立分析模型，将测量指标划分为若干区间，不同区间能反映测量对象在控制有效性方面的强弱。第五，对测量对象进行评价。对测量指标进行解释，使得测量结果能够恰当反馈测量需求。

（二） ISO/IEC 27004：2016测量指标体系

ISO/IEC 27004：2016附录B提供了一个标准的指标体系实例，用于测量组织ISMS是否符合ISO/IEC 27001：2013。ISO/IEC 27004：2016共包含35個指标（从B.2到B.36），每个指标与ISO/IEC 27001：2013的控制要求进行了映射，如下表所示：

然而ISO/IEC 27004：2016的测量指标主要以ISO/ IEC 27001：2013为基础，组织在建设ISMS过程中，在参考ISO/IEC 27001：2013的同时，需要考虑国内相关法律法规、监管要求等因素，同时考虑多体系融合，ISMS比起单一ISO/IEC27001：2013更为复杂，测量指标设计也应充分考虑对组织的适用性。

二、ISMS有效性测量设计

（一） 有效性测量的前提

建立完善的ISMS是信息安全管理体系测量的首要条件之一。ISMS不仅为信息安全管理工作提供制度依据，也同时为ISMS有效性测量框架设计的基础。

从有效性测量的角度出发，完善的信息安全管理体系应包括以下特征：

合规性：信息安全管理体系应满足外部法律法规、监管要求、合同协议要求及主管部门或投资方、内部控制等方面的要求。

适度安全：应建立统一的信息安全策略，确立信息安全顶层方针、策略和控制目标，在确保客体安全可控基础上，平衡安全与效率的矛盾。

明确客体控制要求：识别重要客体，如数据中心、重要信息、软硬件等，对客体进行分级分类，明确不同类别、不同级别客体的控制要求。

明确主体责任：在梳理IT资产的基础上，明确不同IT资产的信息安全控制责任，同时应明确高级管理层、各部门、重要岗位的信息安全责任，授权合理、责任明确。

采用技术控制手段，提高信息安全控制效率和效果。

明确重要活动流程：如信息安全事件处理流程、信息安全资产管理流程等。

建立完善的应急预案，定期开展演练。

建立评估与评价体系，确保信息安全体系持续改进。

（二） 有效性测量的目的和意义

明确测量的目的和意义是设计测量模型的前提条件之一，测量的指标应围绕测量目的开展。信息安全有效性测量应与信息安全检查、信息安全绩效评价目的不同，虽然三者有一定联系，甚至互为输入，但测量模型应反映测量的目的。

信息安全检查的目的：主要利用科学的抽样、检查、技术检测等技术，评估信息安全控制措施的有效性。检查的输入项通常是信息安全管理体系要求，检查对象为主体的履职情况、客体的控制效果，识别控制缺陷和薄弱环节。

信息安全管理体系有效性测量的目的：测量的客体为信息安全管理体系，主要通过对一系列的指标和模型的测量，检验信息安全管理体系是否有效，通常包括本文前面所描述的合规性、适度安全等要素，信息安全有效性测量是信息安全管理体系完善的主要依据之一。

信息安全绩效评价的目的：主要评价管理主体的履职绩效，评价对象为信息安全管理主体履行信息安全管理活动的态度、履职情况、履职效果、目标（KRI，即关键风险指标）完成情况。

（三） 有效性测量的需求

信息安全管理有效性测量，通常包含过程指标和结果指标两类。过程指标反映信息安全管理过程、管理环节、管理活动的有效性指标，包括过程的效率效果性、经济性、合理性、合规性等。结果指标反映信息安全管理结果的有效性指标，包括安全事件发生是否超过了容忍限度、核心系统可用性指标、人员伤亡指标、数据泄密指标等。

（四） 有效性测量模型的设计

1、 测量需求

首先应明确测量需求，包括确定ISMS控制目标，并基于控制目标设计测量指标和确定测量对象。测量指标应能反映控制目标，选取关键控制活动和控制环节。

2、 测量方法

其次应确定测量方法，包括选取测量对象的属性和测度，确定测量方法（含基础测量和派生测量），结合工作实际，确定测量频度。

3、 测量基准

第三，确定测量基准，可以划分为可以接受区域、预警区域和不可接受区域，用于对实际测量结果的参考。

4、 测量结果

最后，形成测量结果后，与测量基准进行比较，形成初步测量结果。对测量结果进行复核和与责任方进行沟通，确定最终的测量结果。

三、有效性测量案例分析

笔者结合组织信息安全控制目标，设计了一套基于控制目标的信息安全控制目标有效性测量指标体系。如下表所示：

（二） 指标分析与评价

完成上表测量工作后，ISMS的有效性测量工作就完成了绝大部分工作，只剩下最后一项活动，即指标分析和评价活动。指标分析和评价活动需要从风险视角分析一个指标存在多个属性时，怎样判断指标的有效性。以上表中“信息安全方针的评审”指标为例，该指标包含了“定期开展方针评审活动”和“不符合项整改率”两个属性的测量结果，符合怎样的情形时该项指标才能判断为“控制有效”。从理论上测量结果包括九种可能性，如下图所示：

如果某个指标包含的属性更多时，指标分析和评价过程会变得非常复杂。为了简化分析和评价过程，通常可以约定同一测量指标中多个属性的测量结果同时为“可接受区域”时，该指标才可判定为“控制有效”，其他情形均判定为“控制无效”。实际在指标分析和评价过程中，可以根据每个属性指标的权重和风险暴露程度实施分析与评价。

四、结束语

作为国际标准ISO/IEC 27001：2013，提供了一个ISMS框架，为组织建设ISMS提供了参考，ISO/IEC 27004：2016为满足ISO/IEC 2700：2013 “9.1：监视、测量、分析和评价要求”条款提供了一个ISMS有效性测量框架。然而组织在贯标ISO/IEC 27001：2013的过程中并不会完全遵照标准要求建立ISMS，因国家法律法规、行业监管要求、企业自身组织治理等因素不同，组织建设的ISMS也不近相同，所以ISMS有效性测量方法也不能完全照搬ISO/IEC 27004：2016进行实施。本文作者全面剖析了ISMS有效性测量设计方法，并分享了设计案例，为读者朋友提供学习和参考。编写过程中难免有不足之处，欢迎读者朋友多提寶贵意见。