ISMS有效性测量浅析-李鹏飞.doc

作者简介： 李鹏飞，谷安天下公司咨询顾问。信息对抗技术专业毕业，五年信息安全领域工作经验。主要从事信息系统运行维护、信息安全风险评估、信息安全管理体系咨询等方面工作，曾服务的客户有：深圳证券通信公司、北方电信、上海电信、信达资产管理公司、北京NTT DATA、同方鼎欣、华胜天成等。 随着各界对信息安全管理重视程度的加强，越来越多的组织依据ISO 27001标准来建立自身的信息安全管理体系（ISMS），对于ISMS的建立的过程和方法已经有很多的资料可以参考，然而对ISMS的有效性进行测量则是一个比较新的课题，因此笔者愿意分享一些个人的知识和经验。 为什么需要对ISMS进行有效性测量？ 我们为什么要对ISMS的有效性进行测量呢？换句话说，进行ISMS有效性测量的意义及价值是什么，我们从以下几个角度来评述。 对信息安全管理目标的考核 组织在建立ISMS时都会依据组织业务的发展、各利益相关方安全要求及组织的信息安全管理水平等，来设定自身信息安全管理的目标，通过有效性测量，不但可以很好的对信息安全目标达到的程度进行考核，准确的衡量ISMS的绩效，而且还能够为管理层对信息安全管理的资源投入提供数据依据。 ISMS持续改进的重要依据 在建立ISMS时，通常都会进行风险评估及风险处理措施的实施，如果不进行有效行测量，就不能反映出当前组织的各安全措施的效果如何，即无法表现出信息安全的改进在哪些方面。通过有效性测量，能够更充分的反映出当前组织的信息安全存在问题及问题的严重程度，为今后的信息安全的工作重点提供有力的依据。 信息安全管理工作的绩效考核 有效性测量结果不仅是衡量ISMS绩效的重要标准，也是对信息安全管理组织工作绩效的一个有利的侧面展示，通过有效性测量的数据，不但可以使管理者清晰的了解信息安全管理工作，而且还能增强信息安全管理工作人员的信心。 满足标准（ISO 27001）的符合性要求 众所周知，ISO 27001标准中明确要求组织定义测量体系，并实施之获得数据，衡量所实施ISMS的有效性。SMART原则要具体(Specific)，可量化(Measurable)，可达成(Achievable or Attainable)，现实的(Realistic)，并且有限定的时间期限(Timely)。管理控制措施：如目标、安全意识等方面； 业务流程：如风险评估和处理、选择控制措施等； 运营措施：如备份、防范恶意代码、存储介质等方面； 技术控制措施：如防火墙、入侵检测、补丁管理等； 审核、回顾和测试：如内审、外审、技术符合性检查等。 你不能改进你不能测量的东西 文档编号： 密级：绝密/机密/内部公开/公开 第ii页 第1页 共4页 2009年版 谷安天下 李鹏飞 ISMS有效性测量浅析