浅析信息安全管理体系有效性测量

文｜董亦兵

一、ISO/IEC 27004:2016介绍

ISO/IEC 27004:2016由ISO/IEC于2016年12月15日发布了第二版，标准中文名称为“信息技术-安全技术-信息安全管理-监测、测量、分析和评价”，旨在协助组织评估ISMS的有效性，以满足ISO/IEC:2013,9.1:监视、测量、分析和评估要求。ISO/IEC 27004:2016通过一系列的指标用来评价组织ISMS的有效性，并通过系统性的测量方法支撑评估过程。下面简要介绍测量要素间的关系和ISO/IEC 27004:2016的测量指标体系。

(一) 测量要素间的关系

测量要素间的关系图（参考ISO/IEC 27004:2016）

根据ISO/IEC 27004:2016标准，ISMS有效性测量工作分为监控、测量、分析和评价四个环节。测量要素间的关系如下：

第一，应明确测量需求。测量需求应反映信息安全管理关键流程、关键活动、关键控制的有效性，能折射管理成熟度。第二，在明确测量需求基础上，确定测量对象（实体），并选取测量对象适当的属性进行监控。测量对象属性应与测量目的保持一致，以满足测量需求。第三，采取适当的测量方法实施测量，包括基础测量和派生测量。定义适当的测度，通过对属性的度量，形成基础测量结果。围绕测量目的和测量需求，设计恰当的测量函数，将多个基础测量结果进行结合，形成派生测量结果。第四，设计测量指标。测量指标能直观反映测量需求，通常通过建立分析模型，将测量指标划分为若干区间，不同区间能反映测量对象在控制有效性方面的强弱。第五，对测量对象进行评价。对测量指标进行解释，使得测量结果能够恰当反馈测量需求。

(二) ISO/IEC 27004:2016测量指标体系

I S O/I E C 27004:2016附录B提供了一个标准的指标体系实例，用于测量组织I S M S是否符合I S O/I E C 27001:2013。ISO/IEC 27004:2016共包含35个指标（从B.2到B.36），每个指标与ISO/IEC 27001:2013的控制要求进行了映射，如下表所示：

与ISMS的关系，映射ISO/

IEC 27001:2013的控制编号度量指标名称

1 5.1，7.1 B.

2 资源分配

27.5.2，A.5.1.2 B.3 策略评审

3 5.1，9.3 B.

4 管理承诺

48.2，8.3 B.5 风险敞口

59.2，A.18.2.1 B.6 审计程序

610 B.7 改善行动

710 B.8 安全事故成本

810，A.16.1.6 B.9 从信息安全事故中汲取

教训

910.1 B.10 纠正措施的实施

10 A.7.2 B.11 信息安全管理培训与

意识教育

11 A.7.2.2 B.12 信息安全培训

12 A.7.2.1，A.7.2.2 B.13 信息安全意识合规性

13 A.7.2.2 B.14 信息安全管理宣传活

动的有效性

14 A.7.2.2，A.9.3.1，A.16.1 B.15 社会工程防范

15 A.9.3.1 B.16 密码质量 – 人工控制

16 A.9.3.1 B.17 密码质量 – 自动控制

17 A.9.2.5 B.18 审查用户访问权限

18 A.11.1.2 B.19 物理入口控制系统评估

19 A.11.1.2 B.20 物理入口控制有效性

20 A.11.1.4 B.21 定期维护管理

21 A.12.1.2 B.22 变更管理

22 A.12.2.1 B.23 恶意代码防护

23 A.12.2.1 B.24 恶意软件防范

24 A.12.2.1，A.17.2.1 B.25 可用性管理

信息化研究

25 A.12.2.1，A.13.1.3 B.26 防火墙规范

26 A.12.4.1 B.27 日志文件审查

27 A.12.6.1 B.28 设备配置

28 A.12.6.1，A.18.2.3 B.29 渗透测试与脆弱性评估

29 A.12.6.1 B.30 脆弱性场景

30 A.15.1.2 B.31 第三方协议中的安全

31 A.16 B.32 安全事故管理有效性

32 A.16.1 B.33 安全事故态势

33 A.16.1.3 B.34 安全事件报告

34 A.18.2.1 B.35 信息安全管理评审程序

35 A.18.2.3 B.36 漏洞覆盖度

然而ISO/IEC 27004:2016的测量指标主要以ISO/ IEC 27001:2013为基础，组织在建设ISMS过程中，在参考ISO/IEC 27001:2013的同时，需要考虑国内相关法律法规、监管要求等因素，同时考虑多体系融合，ISMS比起单一ISO/IEC27001:2013更为复杂，测量指标设计也应充分考虑对组织的适用性。

二、ISMS有效性测量设计

(一) 有效性测量的前提

建立完善的ISMS是信息安全管理体系测量的首要条件之一。ISMS不仅为信息安全管理工作提供制度依据，也同时为ISMS有效性测量框架设计的基础。

从有效性测量的角度出发，完善的信息安全管理体系应包括以下特征：

合规性：信息安全管理体系应满足外部法律法规、监管要求、合同协议要求及主管部门或投资方、内部控制等方面的要求。

适度安全：应建立统一的信息安全策略，确立信息安全顶层方针、策略和控制目标，在确保客体安全可控基础上，平衡安全与效率的矛盾。

明确客体控制要求：识别重要客体，如数据中心、重要信息、软硬件等，对客体进行分级分类，明确不同类别、不同级别客体的控制要求。

明确主体责任：在梳理IT资产的基础上，明确不同IT 资产的信息安全控制责任，同时应明确高级管理层、各部门、重要岗位的信息安全责任，授权合理、责任明确。

采用技术控制手段，提高信息安全控制效率和效果。

明确重要活动流程：如信息安全事件处理流程、信息安全资产管理流程等。

建立完善的应急预案，定期开展演练。

建立评估与评价体系，确保信息安全体系持续改进。

(二) 有效性测量的目的和意义

明确测量的目的和意义是设计测量模型的前提条件之一，测量的指标应围绕测量目的开展。信息安全有效性测量应与信息安全检查、信息安全绩效评价目的不同，虽然三者有一定联系，甚至互为输入，但测量模型应反映测量的目的。

信息安全检查的目的：主要利用科学的抽样、检查、技术检测等技术，评估信息安全控制措施的有效性。检查的输入项通常是信息安全管理体系要求，检查对象为主体的履职情况、客体的控制效果，识别控制缺陷和薄弱环节。

信息安全管理体系有效性测量的目的：测量的客体为信息安全管理体系，主要通过对一系列的指标和模型的测量，检验信息安全管理体系是否有效，通常包括本文前面所描述的合规性、适度安全等要素，信息安全有效性测量是信息安全管理体系完善的主要依据之一。

信息安全绩效评价的目的：主要评价管理主体的履职绩效，评价对象为信息安全管理主体履行信息安全管理活动的态度、履职情况、履职效果、目标（KRI，即关键风险指标）完成情况。

(三) 有效性测量的需求

信息安全管理有效性测量，通常包含过程指标和结果指标两类。过程指标反映信息安全管理过程、管理环节、管理活动的有效性指标，包括过程的效率效果性、经济性、合理性、合规性等。结果指标反映信息安全管理结果的有效性指标，包括安全事件发生是否超过了容忍限度、核心系统可用性指标、人员伤亡指标、数据泄密指标等。

(四) 有效性测量模型的设计