信息安全管理測評研究

第頁共頁信息平安管理測評研究信息平安管理測評研究【摘要】：^p：信息平安管理測評是信息平安管理的一局部，作為衡量信息平安管理狀態(tài)及其績效的信息平安管理測評方法學(xué)的研究已成為迫切需要解決的重要課題，其對組織信息平安保障體系的建立、管理和改良具有重要意義。【關(guān)鍵詞】：^p：信息平安管理；測評；要素；指標(biāo)中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044〔2023〕27-6080-03人類進(jìn)入信息化社會(huì)，社會(huì)開展對信息化的依賴程度越來越大，一方面信息化成果已成為社會(huì)的重要資，在政治、經(jīng)濟(jì)、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用，另一方面由于信息技術(shù)的迅猛開展而帶來的信息平安事件、事故層出不窮，信息平安問題與矛盾日益突出。信息平安工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程，其包括關(guān)鍵根底設(shè)施及硬件平安、運(yùn)行平安、軟件平安、通信平安、人員平安、傳輸平安、網(wǎng)絡(luò)平安、人員平安等。組織要實(shí)現(xiàn)信息平安目的，就必須建立一套行之有效信息平安管理與技術(shù)有機(jī)結(jié)合的平安防范體系。信息平安管理包括制定信息平安策略〔包括方案、程序、流程與記錄等〕、風(fēng)險(xiǎn)評估、控制目的的選擇、控制措施的施行以及信息平安管理測評等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1]，強(qiáng)調(diào)了測量對組織管理的重要意義，信息平安管理同樣也離不開測評。如何對信息平安管理有效性等進(jìn)展測量，根據(jù)測量的結(jié)果對組織信息平安管理情況進(jìn)展評價(jià)并進(jìn)一步指導(dǎo)信息平安管理，進(jìn)步信息平安管理才能和程度，目前已經(jīng)成為信息平安領(lǐng)域的一個(gè)研究熱點(diǎn)[2]。信息平安管理測評是組織圍繞信息化持續(xù)開展與信息平安保障的現(xiàn)狀和將來綜合才能的反映，不僅是對過去和如今的才能展現(xiàn)，而且為將來開展提供保障和動(dòng)力。在我國，目前關(guān)于信息平安管理測評研究剛處于起步階段，還沒有一套可供使用的信息平安測評體系標(biāo)準(zhǔn)、方法等。因此，開展信息平安管理測評研究，對組織信息化建立既具有重要的現(xiàn)實(shí)意義也具有長遠(yuǎn)的持續(xù)開展意義。1信息平安管理測評開展綜述與需求關(guān)于信息平安測評，美國早在2023年通過的《聯(lián)邦信息平安管理法案》中就要求各機(jī)構(gòu)每年必須對其信息平安理論進(jìn)展獨(dú)立測評，以確認(rèn)其有效性。這種測評主要包括對管理、運(yùn)行和技術(shù)三要素的控制和測試，其頻率視風(fēng)險(xiǎn)情況而定，但不能少于每年一次。在獨(dú)立評價(jià)的根底上，聯(lián)邦管理與預(yù)算局應(yīng)向國會(huì)上報(bào)評價(jià)匯總結(jié)果；而聯(lián)邦審計(jì)署那么需要周期性地評價(jià)并向國會(huì)匯報(bào)各機(jī)構(gòu)信息平安策略和理論的有效性以及相關(guān)要求的執(zhí)行情況。2023年7月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所〔NationalInstituteofStandardsandTechnology，NIST〕發(fā)布了NISTSP800-55《信息技術(shù)系統(tǒng)平安測量指南》，其包括以下內(nèi)容[3]：1〕角色和職責(zé)：介紹開展和執(zhí)行信息平安測量的主要任務(wù)和職責(zé)。2〕信息平安測量背景：介紹測量定義、進(jìn)展信息平安測量的好處、測量類型、幾種可以進(jìn)展信息平安測量的控制、成功測量的重要因素、測量對管理、報(bào)告和決策的作用。3〕測量開展和執(zhí)行過程：介紹用于信息平安測量開展的方法。4〕測量工程執(zhí)行：討論可以影響平安測量工程的技術(shù)執(zhí)行的各種因素。5〕以附件的形式給出的16種測量的模板。2023年11月17日，美國的企業(yè)信息平安工作組〔CorporateInformationSecurityWorkingGroup，CISWG〕發(fā)布了CISWGCS1/05-0079《帶有支撐管理測量的信息平安方案要素》[4]，2023年國際標(biāo)準(zhǔn)化組織〔ISO/IECSC27〕提出了信息平安管理體系〔InformationSecurityManagementSystems，ISMS〕的系列標(biāo)準(zhǔn)——ISO27000系列。2023年1月10日又發(fā)布了修訂版，并作為針對ISO/IEC2ndWD27004的奉獻(xiàn)文檔提交給ISO/IECJTC1SC27，該文檔是根據(jù)CISWG的最正確理論和測量小組的報(bào)告改編。2023年8月31日，美國國際系統(tǒng)平安工程協(xié)會(huì)〔InternationalSystemSecurityEngineeringAssociation，ISSEA〕針對ISO/IEC2ndWD27004向ISO/IECJTC1SC27提交了題為“ISSEAContributionBackground”[5]〔ISSEA測量的奉獻(xiàn)背景〕和“ISSEAMetrics”[6]〔ISSEA測量〕兩個(gè)奉獻(xiàn)文檔。2023年國際標(biāo)準(zhǔn)化組織〔ISO〕發(fā)布了ISO/IEC27004：2023〔信息技術(shù)一平安技術(shù)一信息平安管理測量〕標(biāo)準(zhǔn)，為如何建立及測量ISMS及其控制措施提供了指導(dǎo)性建議[7]。信息平安管理體系是信息平安保障體系的重要組成局部。近年來，隨著組織對信息平安保障工作重視程度的日益增強(qiáng)，不少組織都根據(jù)標(biāo)準(zhǔn)GB/T22081-2023建立了一套比擬完善的ISMS來保護(hù)組織的重要信息資產(chǎn)，但是體系建立起來了，不少管理者都對ISMS的運(yùn)行效果極其控制措施的有效性，持疑心的態(tài)度。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運(yùn)行情況進(jìn)展科學(xué)的評價(jià)，進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息平安管理測評將為確定ISMS的實(shí)現(xiàn)目的，衡量ISMS執(zhí)行的效力和效率提供一些思想、方法，其結(jié)果具有客觀的可比性，還可以作為信息平安風(fēng)險(xiǎn)管理、平安投入優(yōu)化和平安實(shí)現(xiàn)變更的客觀根據(jù)，有助于降低平安風(fēng)險(xiǎn)，減少平安事件的概率和影響，改良平安控制和管理過程的效率或降低其本錢。2信息平安管理測評研究內(nèi)容信息平安管理測評是信息平安管理體系的重要局部，是信息平安管理測量與評價(jià)的綜合。信息平安管理測量的結(jié)果是信息平安績效評價(jià)的根據(jù)。信息平安管理測量比擬詳細(xì)，信息平安管理評價(jià)那么通過詳細(xì)來反映宏觀。2.1信息平安管理測評要素及其框架信息平安管理測評要素包括：測評實(shí)體及其屬性、根底測評方式、根底測評變量、導(dǎo)出測評制式、導(dǎo)出測評變量、測評方法、測評基線、測評函數(shù)、分析^p模型、指示器、決策準(zhǔn)那么、測評需求和可測評概念等，其框架如圖3.1信息平安測評框架所示，包括：基于什么樣的需求來測評〔即測評需求〕，對什么進(jìn)展測評〔即實(shí)體及其屬性〕，用什么指標(biāo)體系來測評〔包括測評制式、測評變量和測評尺度〕，用什么方法來測評〔即測評方法〕，用什么函數(shù)來計(jì)算測評結(jié)果〔即測評函數(shù)〕，用什么模型來分析^p測評結(jié)果〔即分析^p模型〕，用什么方式來使分析^p結(jié)果可以輔助決策〔即指示器〕等問題。信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求自于組織的使命和業(yè)務(wù)目的，與相關(guān)利益者的利益訴求親密相關(guān)。指示器的生成和分析^p模型的選擇是以信息需求為導(dǎo)向的。決策準(zhǔn)那么是一種決定下一步行為的閾值。他有助于解釋測評的結(jié)果。決策準(zhǔn)那么可能出自或基于對預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)那么可以從歷史數(shù)據(jù)、方案和探究中導(dǎo)出，或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來。可測評概念是實(shí)體屬性與信息需求之間的抽象關(guān)系，表達(dá)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想?？蓽y評概念的例子有消費(fèi)力、質(zhì)量、風(fēng)險(xiǎn)、績效、才能、成熟度和客戶價(jià)值等。實(shí)體是能通過測評屬性描繪的對象。一個(gè)實(shí)體是測評其屬性的一個(gè)對象，例如，過程、產(chǎn)品、系統(tǒng)、工程或資。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性。理論中，一個(gè)實(shí)體可被歸類于多個(gè)上述類別。他可以是有形的也可是無形的。信息平安管理測評的實(shí)體包括信息平安管理體系建立過程中所有的控制項(xiàng)〔信息平安管理測評要素〕。屬性是實(shí)體可測評的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性，其中只有一些可能對測評有價(jià)值。測評模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測評構(gòu)造中。信息平安管理測評主要測評的是每一項(xiàng)控制措施的`屬性〔信息平安管理測評指標(biāo)〕。測評是以確定量值為目的的一組操作。信息平安管理測評是確定控制項(xiàng)的每一個(gè)詳細(xì)指標(biāo)的一組操作，可以有多種測評方法。根底測評是按照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據(jù)屬性和量化他的方法來定義，他捕獲單獨(dú)屬性的信息，其功能獨(dú)立于其他測評。信息平安管理根底測評是對于控制項(xiàng)的指標(biāo)可以直接測評出來的量。導(dǎo)出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據(jù)屬性之間的關(guān)系來定義，他捕獲多個(gè)屬性或多個(gè)實(shí)體的一樣屬性的信息，其功能依賴于根底測評的，是兩個(gè)或更多根底測評值得函數(shù)。測評尺度是一組連續(xù)或離散的數(shù)字量值〔如小數(shù)/百分比/自然數(shù)等〕或離散的可數(shù)量值〔如高/中/低/等〕。測評尺度是標(biāo)準(zhǔn)測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個(gè)測評尺度上的量值后賦給測評變量。測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型：名義〔Nominal〕：測評值是直呼其名。序數(shù)〔Ordinal〕：測評值是有等級的。間隔〔Interval〕：測評值是等間隔的，對應(yīng)于屬性的等量，不可能是零值。比率〔Ratio〕：測評值是等間隔的，對應(yīng)于屬性的等量，無該屬性為零值。測評單位是作為慣例定義和被廣泛承受的一個(gè)特定量。他被用作比擬一樣種類量值的基準(zhǔn)，以表達(dá)他們相對于此量的量級。只有用一樣測評單位表達(dá)的量值才能直接比擬。測評單位的例子有公尺、公斤和小時(shí)等。測評函數(shù)是將兩個(gè)或更多測評變量結(jié)合成導(dǎo)出測評變量的算法。導(dǎo)出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運(yùn)算方式。分析^p模型是將一個(gè)或多個(gè)測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析^p模型產(chǎn)生與信息需求相關(guān)的評估或評價(jià)。測評方法和測評尺度影響分析^p模型的選擇。測評方案定義了測評施行的目的、方法、步驟和資。測評頻率是測評方案的執(zhí)行頻率。測評方案應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的本錢之間的折中，可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和施行以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。2.2信息平安管理測評量表體系任何測評都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息平安測評指標(biāo)體系是信息平安測評的根底，是對指定屬性的評價(jià)，這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)，對他們進(jìn)展評價(jià)為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標(biāo)準(zhǔn)GB/T22081-2023是進(jìn)展信息平安管理所參照的標(biāo)準(zhǔn)，其從信息平安方針、信息平安組織、法律法規(guī)符合性等11個(gè)方面，提出了133個(gè)控制措施供使用者在信息平安管理過程中選擇適當(dāng)?shù)目刂拼胧﹣砑訌?qiáng)信息平安管理。該標(biāo)準(zhǔn)所提供的控制措施根本能覆蓋信息平安管理的各個(gè)方面。在建立信息平安管理測評指標(biāo)體系的理論中，通常以控制措施的施行情況作為指標(biāo)，建立預(yù)選指標(biāo)集，通過對預(yù)選指標(biāo)集的分析^p，采用專家咨詢的方式挑選出能全面反映信息平安管理有效性的詳細(xì)指標(biāo)。3信息平安管理測評方法討論測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過時(shí)間等。同樣的測評方法可能適用于多個(gè)屬性。然而，每一個(gè)屬性和測評方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的根底測評。測評方法可能采用多種方式實(shí)現(xiàn)。測評規(guī)程描繪給定機(jī)構(gòu)背景下測評方法的特定實(shí)現(xiàn)。測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型：主觀：含有人為判斷的量化。客觀：基于數(shù)字規(guī)那么〔如計(jì)數(shù)〕的量化。這些規(guī)那么可能通過人或自動(dòng)手段來實(shí)現(xiàn)。測評方法的可能例子有：調(diào)查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試〔相關(guān)技術(shù)有設(shè)計(jì)測試和操作有效性測試等〕、統(tǒng)計(jì)〔相關(guān)技術(shù)有描繪統(tǒng)計(jì)、假設(shè)檢驗(yàn)、測評分析^p、過程才能分析^p、回歸分析^p、可靠性分析^p、取樣、模擬、統(tǒng)計(jì)過程控制〔SPC，statisticalProcesscontrol〕圖和時(shí)序分析^p等〕。4完畢語當(dāng)前，信息平安領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評，其中信息平安風(fēng)險(xiǎn)評估可通過對重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評價(jià)掌握組織的信息平安狀況；信息平安審計(jì)那么只是對信息平安相關(guān)行為和活動(dòng)提供相關(guān)證據(jù)；而信息平安管理評審那么是符合性審核，他們都不能對信息平安管理的有效性以及信息平安管理中采取的控制措施的有效性做出評價(jià)。因此，非常有必要對信息平安管理的有效性進(jìn)展測評，這將有助于理解信息平安管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況，為管理者決策提供根據(jù)，也能為組織信息平安管理過程的持續(xù)改良提供足夠的幫助，到達(dá)更好地管理信息平安的最終目的?！緟⒖嘉墨I(xiàn)】：^p：[1]閆世杰，閔樂泉，趙戰(zhàn)生.信息平安管理測量研究[J].信息平安與通信保密，2023，5：53.[2]朱英菊，陳長松.信息平安管理有效性的測量[J].信息網(wǎng)絡(luò)平安，2023，1：87-88.[3]NistN.800-55.securitymetricsguideforinformationtechnologysystems[J].NISTpaper，2023.[4]CISWGCS1/05-0079.InformationSecurityProgramElementswithSupporti