信息安全度量的定义信息安全度量体系建设意义.pdfVIP

1. 信息安全度量的定义 1.1 什么是度量 在物理和数学领域，度量的定义为“用拓扑空间的二值函数，给出空间中任意两点之间 距离的值，或者是用于分析的距离的近似值。”我们可以认为，“几乎任何量化问题空间并得 出值的情况，都可能看作是度量”。传统的企业管理领域有一条准则——不能测量的东西就 不能管理；这条准则也同样适用于信息安全管理领域。 1.2 什么是信息安全度量 行业的实践经验表明，企业在完成了网络安全架构和安全管理建设的基础建设之后，常 常会遇上安全管理落地难、检查难的问题。安全内控度量则是针对此问题的解决方案。 信息安全内控度量可以理解为在企业内部信息安全管理中通过采用系统的、量化的、有 效的手段对信息安全管理的现状进行测量和评价，从而发现潜在的安全控制弱点，切实推动 安全管理规范的落地，持续提升组织的信息安全管理水平。 2. 信息安全度量体系建设意义 2.1 度量的优势 以往对信息安全管理情况的评价大多采用定性评价，定性评价的优点在于能够对无法量 化的制度建设、流程控制、日常操作等方面进行一个较为客观的评价，但定性评价的缺点也 很明显，由于无法对评价结果进行量化，只能人为的对评价结果进行大致分级，这就有可能 因为评价者自身的不足影响评价的客观性和准确性。信息安全内控度量正是要解决这种问题， 通过大量可量化的、具有代表性的指标对信息安全管理情况进行量化的分析和评价。 2.2 安全度量的必要性 实施信息安全度量的必要性 发现各类潜在问题 量化评价安全管理绩效 确保安全管理持续改进 发掘隐含的安全问题 及潜在风险，并提出 通过建立并实施信息 推动信息安全管理规 相关的解决建议，确 安全度量体系，采用 范落地，持续不断的 保管理制度体现安全 量化、直观方式对安 改进信息安全工作 管理需求、日常操作 全管理绩效进行评价 实现安全管控、技术 手段保证安全实施等 2.3 度量和审计的差异与关联 比较项 审计 度量 发起方 内部／外部 内部 关注重点 合规性 包括但不限于合规性 活动持续时间 阶段 周期／持续 评价方式 定性为主 定量为主 产出物 审计报告 安全管理绩效 3. 实施方法论和依据 3.1 信息安全内控度量体系理论支持 任何体系的构建都需要相应的标准及理论支持，信息安全度量作为评价信息安全管理的 重要手段之一也不例外，国际上已经有了一些较为成熟的体系及标准为度量体系的建设提供 支持，Cobit 和ISO27004 就是最为典型的两个。作为IT 治理框架，Cobit 提供了一个IT 管 理框架以及配套的支撑工具集，这些都是为了帮助管理者通过IT 过程管理IT 资源实现IT 目标满足业务需求。Cobit 建立了一个包含7 个业务需求、20 个业务目标、28 个IT 目标、 34 个IT 过程、100 多个控制管理目标的IT 管理框架，通过控制度、度量、标准三个纬度来 度量IT 过程能力。ISO27004 作为ISO27000 系列中的一个重要组成部分，对信息安全度量 目标、度量项、度量过程、度量值乃至度量实施都给出了指引。 3.2 内控度量的PDCA PDCA 就是业界公认的信息安全管理方法论，遵循计划（Plan ）、实施（Do ）、检查（Check ）、 改进（Action ）相结合的闭环机制，可以有效的为各类安全管理活动提供支持。如下图所示，