ISO27001论文关于基于ISO27001的信息安全管理体系有效性测量评价指标论文范文参考资料

ISO27001论文关于基于ISO27001的信息安全管理体系有效性测量评价指标论文范文参考资料 文卢挺 陈多思 周亮 王亚春 徐罗罗 摘要：本文通过将信息安全目标分解为11个方面，39个子目标，每个子目标作为一个测量的对象，设置一个或若干个测量指标。再通过权重分析，综合评价，提出了信息安全管理的集成测量评价模型，将信息安全目标的有效性量化为一个百分比的数值，帮助管理者更好掌握组织信息安全管理现状，考核信息安全管理绩效，计算信息安全管理措施的投资回报率，以及发现信息安全管理中的关键不足，积极采取有效控制措施，有利于组织的信息安全管理体系更加完善。 关键词：信息安全；有效性测量；测量模型；指标体系；权重分析；综合评价 引言 随着信息时代的到来，互联网飞速发展，电子商务和电子政务也不断推广，在极大地促进经济发展、提升了工作效率的同时，也带来了计算机病毒、*入侵等一系列信息安全问题。信息资源犹如一把双刃剑，合理的利用能带来巨大的价值，而稍有不慎，其带来的危害与损失也难以承受。屡屡发生的信息安全事件正不断为我们敲响警钟，为此我们需要对信息安全进行管理。 1、研究目的 随着信息化技术的发展，信息安全问题变得日益突出，全社会对于信息安全的认识也逐步提高。一方面，国家成立了*网络安全和信息化领导小组，并由 _亲自挂帅；另一方面，企业对于信息安全的认证展现了极大地热情，自xx年信息安全管理体系标准ISO27001：xx发布以来，短短十年间，中国就后来居上，通过ISO27001认证的企业数量在全球排名前列。这些都充分说明了信息安全在中国，不论是官方还是民间，都越来越受到重视。 但是，我们在信息安全领域投入了大量的人力、物力、财力，最终的效果如何呢那么多企业都通过了信息安全管理体系认证，他们的实际信息安全管理水平如何呢很多部门都把信息安全纳入了考核要求，考核又该如何量化呢这就是我们今天研究信息安全管理体系有效性测量与评价指标的意义。 2、信息安全管理体系测量模型 标准ISO 27004：xx信息安全管理测量是ISO27000系列标准中， 关于评估信息安全管理体系（ I n f o r m a t i o nSecurity Management System，简称I*S）和控制措施的有效性的实施指南。通过这份标准可以帮助组织建立有效的I*S有效性测量模型。 2.1 测量目标 在信息安全管理体系的背景下，信息安全测量的目标包括如下几个方面： a) 评价已实施控制措施或控制措施集的有效性； b) 评价已实施的I*S的有效性； c) 验证已识别的安全要求的满足程度； d) 在组织的总体业务风险方面，促进信息安全执行情况的改进； e) 为了便于做出I*S相关的决策，并证明已实施的I*S所需的改进，为管理评审提供输入。 图1 信息安全管理的I*S PDCA循环中的测量输入和输出 2.2 测量模型 信息安全测量模型是将信息需要和相关测量对象及其属性关联的结构。测量对象可包括已计划的或已实施的过程、规程、项目和资源。信息安全测量模型描述如何将相关属性进行量化并转换为指标，以提供决策依据。 3、信息安全管理测量指标体系 通过前文介绍，建立合理的信息安全管理测量评价指标体系，关键是将信息安全目标分解多个子目标，每个子目标作为信息安全的测量对象，并其建立多个可量化、易于测量、可重复测量、有效反映目标效果的信息安全测量指标，再考虑每个测量指标，每个测量对象的达标阀值和影响权重，从而构成了一套多层次多级综合评价的指标体系。 标准ISO 27002：xx信息安全管理实用规则从安全方针、信息安全组织、资产管理等11个方面，提出了39个信息安全管理子目标。这39个信息安全管理子目标，就是我们研究的测量对象。为了实现这39个信息安全管理子目标，标准提供了133项控制措施，根据选择测量指标的原则，我们从中挑选出有可量化、易测量、可重复测量、有代表性的控制措施，共计58项作为我们的测量指标，每个子目标有一个或若干个测量指标，再根据权重的方法对测量的结果进行综合评价。 3.1 控制域权重设置 关于权重的设置，根据郭锡泉、罗伟其、姚国祥三位教授、博导在论文信息安全管理测量的集成综合评价方法中的研究成果，分别对11个控制域权重划分如下： 3.2 子目标权重设置 以此为参考，我们分别对各控制域的子目标设置权重： 3.3 具体运用示例 下面以“七 访问控制”过程为例，说明信息安全管理测量指标体系的应用。 由上表所知，“访问控制”过程，在整个信息安全体系中的权重为15.59%，“访问控制”过程有7个目标：目标1“访问控制的业务要求”、目标2“用户访问管理”、目标3“使用者责任”、目标4“网络访问控制”、目标5“操作系统访问控制”、目标6“应用与信息访问控制”、目标7“移动计算和远程工作”，每个目标内容及权重如下表所示： 由上表所知，目标1“访问控制的业务要求”目标在“访问控制”过程中的权重为25%。而“访问控制的业务要求”目标，只有1个测量指标“访问控制策略”，这个指标对目标实现的权重为100%，如下表所示： 具体测量内容为，测量有访问控制列表的系统数（如各共享数据、应用系统、网络、物理等）。 计算方法为，有访问控制列表的系统数/需要设置访问控制测量的系统数*100%。 测量阀值为，100%。 假设需要设置访问控制列表的系统数量为10个，已经设置了10个，则该指标测量项的测量值为100%，测量阀值也是100%，满足阀值。该测量项达成。由于测量目标1只有这一个测量项，则该测量目标达成。 综合计算该测量项对整个信息安全管理体系的影响的方法为：访问控制过程的权重*访问控制业务要求目标的权重*测量指标的权重，即为15.59%*25%*100%=4% 再举一例，目标3“使用者责任”目标在“访问控制”过程中的权重为12.5%。而“访问控制的业务要求”目标，有3个测量指标“用户口令”、“操作锁定”、“屏幕保护”，这3个指标对目标实现的权重分别为50%、25%、25%，如下表所示： “用户口令”具体测量内容为，测量使用不合格口令的用户数。 计算方法为，使用不合格口令的员工数/员工总数*100%。测量阀值为，=10%。 假设员工总数为100人，使用不合格口令（口令长度不符合、口令复杂度不符合等）人数为5人，则该指标测量项的测量值为5%，测量阀值为=10%，满足阀值。该测量项达成。 “操作锁定”具体测量内容为，测量一定周期内员工离开电脑时，未锁定计算机次数。 计算方法为，未锁定计算机次数/员工总数*100%。 测量阀值为，=50%/月。 假设员工总数为100人，当月共发现员工离开电脑时未锁定计算机次数为46次，则该指标测量项的测量值为46%，测量阀值为=90%。 假设公司内终端电脑总数为100台，已按规定设置屏保终端数为98台，则该指标测量项的测量值为98%，测量阀值为=90%，满足阀值。该测量项达成。 综合计算三个测量项对整个信息安全管理体系的影响的方法为：访问控制过程的权重*使用者责任目标的权重*测量指标的权重，即： “ 用户口令” 对整个体系的影响值1 5 . 5 9 % * 1 2 . 5 %*50%=1% “ 操作锁定” 对整个体系的影响值1 5 . 5 9 % * 1 2 . 5 %*25%=0.5% “ 屏幕保护” 对整个体系的影响值1 5 . 5 9 % * 1 2 . 5 %*25%=0.5% 通过以上方法，将所有的58项测量指标得分相加相加，即可将信息安全管理体系整体有效性进行量化评价。 4、结论 本文研究了信息安全管理测量与评价问题，得到58项具体的测量指标，用于将组织的信息安全管理水平以一个百分比的数值量化出来。通过对信息安全管理体系有效性的量化，可以帮助管理者更好掌握组织信息