ISMS信息安全管理體系有效性測量淺析
隨著各界對信息安全管理重視程度的加強,越來越多的組織依據ISO27001標準來建立自身的信息安全管理體系(ISMS),對于ISMS的建立的過程和方法已經有很多的資料可以參考,然而對ISMS的有效性進行測量則是一個比較新的課題.
一、為什么需要對ISMS進行有效性測量?
為什么要對ISMS的有效性進行測量呢?換句話說,進行ISMS有效性測量的意義及價值是什么,下面從以下幾個角度來評述.
1.對ISO27001信息安全管理目標的考核
組織在建立ISMS時都會依據組織業務的發展、各利益相關方安全要求及組織的信息安全管理水平等,來設定自身信息安全管理的目標,通過有效性測量,不但可以很好的對信息安全目標達到的程度進行考核,準確的衡量ISMS的績效,而且還能夠為管理層對信息安全管理的資源投入提供數據依據.
2.ISMS持續改進的重要依據
在建立ISMS時,通常都會進行風險評估及風險處理措施的實施,如果不進行有效行測量,就不能反映出當前組織的各安全措施的效果如何,即無法表現出信息安全的改進在哪些方面.通過有效性測量,能夠更充分的反映出當前組織的信息安全存在問題及問題的嚴重程度,為今后的信息安全的工作重點提供有力的依據.
3.ISO27001信息安全管理工作的績效考核
有效性測量結果不僅是衡量ISMS績效的重要標準,也是對信息安全管理組織工作績效的一個有利的側面展示,通過有效性測量的數據,不但可以使管理者清晰的了解信息安全管理工作,而且還能增強信息安全管理工作人員的信心.
4.滿足標準(ISO27001)的符合性要求
眾所周知,ISO27001標準中明確要求組織定義測量體系,并實施之獲得數據,衡量所實施ISMS的有效性.通過ISMS有效性測量工作,不僅僅充分的滿足了標準的要求,而且是推動ISMS持續改進的動力.
二、進行有效性測量需要注意什么?
在對ISMS進行有效性測量的時候,我們應該遵循什么樣的原則呢?我認為只要遵循“有依據、可操作、能比較”這三點原則,那么設計出來的有效性測量體系就是比較好的.這三點原則說明如下:
1)有依據:有效性測量的過程中,不是為了測量而測量,不是為了標準而測量,各項指標的設定一定要有理有據,每個測量的指標都應當能夠具體反映出ISMS的運行狀態.
2)可操作:一個不能操作的測量指標體系是沒有意義的,所以有效性測量指標體系一定是清晰、明確,具體可操作的,而同時又是容易收集、不能花費太大的成本的,否則設計再好的測量指標體系都無法真正的貫徹執行.
3)能比較:有效性測量的結果一定是可比較的,可以通過量化的數值、圖形化的參考來展現測量的結果,這樣能夠清晰、直觀的觀察到ISMS的狀態趨勢.
三、如何進行有效性測量體系的設計?
前面談到了進行有效性測量的必要性以及建立測量指標體系的原則,那么如何建立一個有效性測量的體系呢?下面結合ISMS建設的PDCA四個階段來做一個說明各階段的重要活動.
1.ISMS的Plan策劃階段
隨著整個ISMS的策劃,有效性測量的工作其實已經可以開展,這個階段主要是收集有效性測量的需求,為有效性測量提供輸入,是進行有效性測量指標體系設計的基礎.具體的活動如下:
1)ISMS目標建立:有效性測量一定要與組織的業務目標相關,是為了組織的核心業務目標而測量的,這是進行有效性測量的第一要點.在ISMS策劃階段建立組織ISMS的業務目標時,一定使ISMS的目標能夠反映組織的業務目標,并且這個目標需要遵守SMART原則,即要具體(Specific),可量化(Measurable),可達成(Achievable or Attainable),現實的(Realistic),并且有限定的時間期限(Timely).
2)利害相關方關注收集:在ISMS的策劃階段,可以收集各利害相關人的關注點,比如:客戶的信息安全關注點、股東或高層的信息安全關注點、上級或監管機構的信息安全關注點等,這些都是建設ISMS的重要信息輸入,同時也是有效性測量的重點關注內容.
3)歷年安全事件的總結:信息安全事件的頻次,能夠在一定程度上反映出組織信息安全的薄弱環節,這些高頻次的安全事件可作為有效性測量的一個重點,來跟蹤驗證針對信息安全事件的安全措施是否有效.如以往病毒發作的安全事件比較高,那么可以將病毒的發作次數、病毒軟件的安裝率、操作系統的補丁更新率作為有效性測量的指標來進行測量,以反映出防病毒控制措施的有效性.
4)信息安全高風險歸納:在策劃階段進行風險評估中的信息安全高風險,是需要組織必須要處理的,而且這些高風險同時是需要被重點跟蹤的,因此所有的信息安全高風險必須能夠反映到有效性測量的指標體系中去,來驗證信息安全高風險的控制措施是否有效.
按照上面所講的方面進行有效性測量的需求信息收集,來為有效性測量提供有力的輸入信息,這樣在進行有效性測量指標的設計時,就能夠做到有理有據.
2.ISMS的Do運作階段
在ISMS的運作階段,需要對有效性測量體系進行詳細的設計,主要是解決測量什么、如何測量、測量結果如何展示的問題.我們從以下幾個方面進行分析:
1)分析有效性測量需求:對于策劃階段的各類有效性測量的輸入進行歸納整理,在這個基礎上還可以考慮加入一些其它方面的只要指標,比如ISMS的重要活動、信息安全管理的日常操作等,這些方面統一分析整理,最終得出一套需要進行測量的重要指標.
2)有效性測量指標分解:對歸納出來的各項重要指標做進一步分解,對應到ISMS的各項具體度量項,并為每項設定度量目標的閥值.
3)測量指標采集方案設計:測量指標采集方案的設計是將各項指標如何測量進行定義,包括測量指標的計算方法、指標采集頻度、測量責任人及采集方式等.測量方案一定要具體可行,指標采集頻度可以根據不同的指標區別對待,在制定責任人時應盡量避免由操作者直接測量自己工作的指標.
4)有效性測量指標的記錄:按照測量指標采集方案的頻率進行檢查,并且按照時間線進行記錄,記錄的數據應客觀準確,這樣才能真正的反映問題.
在此階段的過程中,測量指標的選取是一個重點,同時也是一個難點,不能測量的指標過少,但同時也沒有比較所有的控制點全部進行測量,下面是一個測量指標分類的參考,可根據實際情況選取一些關鍵的指標進行度量.
-管理控制措施:如安全目標、安全意識等方面;
-業務流程:如風險評估和處理、選擇控制措施等;
-運營措施:如備份、防范惡意代碼、存儲介質等方面;
-技術控制措施:如防火墻、入侵檢測、補丁管理等;
-審核、回顧和測試:如內審、外審、技術符合性檢查等.
3.ISMS的Check控制階段
在ISMS的控制階段,需要做的事情有兩個方面,一是根據有效性測量的結果對ISMS進行評價,另外一個需要對有效性測量體系進行評價,兩方面的工作具體來說為:
1)評價ISMS運作:體系管理組根據指標分解的層次,對指標進行計算、整合及分析,檢查各層次指標是否滿足目標要求,并對整體狀況進行評估,得出ISMS做的好的方面以及需要改進的方面.
2)評價測量指標:根據測量、分析結果,評價有效性測量體系的貢獻,并從中找到需要改進的區域,調整測量指標體系,為ISMS有效性的測量更好的提供服務.
4.ISMS的Act改進階段
在ISMS的改進階段,基于控制階段的分析,對ISMS及測量指標體系分別進行改進,使之鞥好的為ISMS服務.
四、總結
有句話叫“你不能改進你不能測量的東西”,這充分說明了有效性測量的重要性,希望能夠通過有效性測量為ISMS的建設提供更好的服務,希望ISMS為組織業務創造更高的價值.
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
