KRI建立有效性信息安全管理评价机制.doc

精品资料网（） 25万份精华管理资料，2万多集管理视频讲座 精品资料网（） 专业提供企管培训资料 KRI建立有效性信息安全管理评价机制 建立有效性信息安全管理评价机制对整个IT审计的评估性和有效性有很大的帮助。我们所说的审计是一种事后检查，而有效性信息安全是一个存在于事前和事中的概念，是为了保证和保全信息控制。接下来我再谈一下CIO们的信息安全体制遇到的问题，有以下几个问题：1)我们是否能量化目前的安全水平?2)我们的信息安全状况是否在对信息安全进行投资后比未投资时好?3)我们的信息安全机制与竞争者相比孰优孰劣? 　　Lord Kelvirl 说过你不能改进你不能测量的东西。因此在信息安全管理评价中需要有测量的机制，这也就是建立有效信息安全管理评价机制的目标，通过该机制来全方位评估企业控制风险的能力。建立有效信息安全管理评价机制的目标可以有助于全面评估企业控制风险的能力，并且该所使用的工具和方法可以重复以及能够将当前和以后的趋势进行比对，这样的方法是简单易行。 　　此外，有效信息安全管理评价机制中还要包含有效信息安全管理评价机制的关键因素，在设计信息安全管理评价机制的过程中，可以通过设计各类信息安全控制措施衡量指标、关键性能指标(KPI)、关键性能汇集(KPX)和关键风险指标(KRI)，最终形成信息安全风险监控和预警体系，保障信息安全管理体系持续有效运行。根据观察企业的IT风险的侧重点，对评估进行量化。 　　接下来来重点阐述一下KRI这一指标。KRI指标可以表明威胁处置的有效性，他分为两块，一块是KPX补丁，和另一块KPX系统准备。KPX补丁又包含了补丁安装，由于补丁原因造成的服务中断和补丁的有效性。KPX系统准备则包括了病毒定义更新以及安全告警复核和处置。因此，KRI是一个或多个 KPX的集合或相互关系，用于评估组织整体的关键风险的程度。评估的结果却是一个可以量化的数值，可以看出某一重要领域的状况。通过有效的风险评估方法对没每个风险点进行量化，这样就可以很清楚的看到风险情况，KPI也就可以帮助确定信息安全机制的现有状况。 　　下面来讲一个KPI的样例：他涉及到名称、描述、目标、相关者类型、责任者、方法、评估和权重、频率、工具和其他。通过以上制定、选择有效的 KPI点予以梳理评估。KPX是对KPI的一些汇总，看在一些领域是否做得好，比如看企业对补丁管理这一块是否做的好。相关的KPI汇集成为KPX，通过量化得到一些KPX的结果。 　　再来具体谈谈什么是KRI，他是一些关键风险的程度，通过两个或以上相关KPX的组合，一般向管理层面的IT报告多用KRI来做。 　　KRI可能包括以下几个类型：安全控制、安全风险管理、信息保护、信息安全治理效果、安全治理、安全意识、减轻威胁。 　　上述的七个标准的类型是并没有固定的标准，而是基于企业自己的标准来做。这样可以让管理层看到的主要是KRI，他既简单又可以提供操作的信息。 　　下面看一个案例。 　　案例：信息安全衡量指标和报告目标 　　衡量和汇报过程是通过一个持续的方式得出的，基于一个闭环的操作方式实现，要看出控制点、状况在哪里。 　　从“定义”出发到“衡量”到“分析”到“检查”再到“实施”到“保持”，之后再循环到“定义”，从而建立风险预警和监控报告。 　　KRI现正处于得分权重，加权得分的趋势。每一个大的KPI下面分了几个具体的KPX来帮助分析。而KPX下面又可以分到每一个具体的KPI中去。KPI就是对一些具体的细分子度量的方法。 　　下面来用图示表明这个过程： 　　KRI→KPX→KPI→衡量指标→评估 　　而建立安全控制有效评价机制过程中需要避免的问题：缺乏管理层重视、评价指标过多，过快或过少，过慢、选错评价对象(这是最重要的一个问题)、评价指标定义错误、使用指标数据评估个体、将评估作为激励手段而非对情况的理解、收集无用数据、缺乏交流和培训、误解指标数据。通过评估可以将此作为一种激励的手段。 　　小结： 　　最后来小节一下我上面所讲述的内容。良好的关键绩效指标收集可以提供机构内部当前风险管理状态的概览，他是将关键绩效指标作为信息安全指示板。 　　KPI能够用来帮助遵循法律法规的需求，从而提供可以用于报告目的的信息。但是我们必须谨慎选取可以发挥效用的KPI，只有有效的KPI可用于展示良好的风险控制。 　　好了，由于时间的关系，我的演讲到此就结束了，欢迎大家与我进行交流!谢谢! 　　QA： 　　1.KPI中人员层次怎么量化? 　　答：可以从两个方面，一是从安全教育的方法比如说成绩总结中提出一些要求来评估;二是从人员意识的一些反馈中得到量化，比如培训考试，员工政策的落实等等。