GB-T 31497-2024 信息技术 安全技术 信息安全管理 监视、测量、分析和评价

ICS35.030CCSL80中华人民共和国国家标准GB/T31497—2024/ISO/IEC27004:2016代替GB/T31497—2015信息技术安全技术信息安全管理(ISO/IEC27004:2016,IDT)国家市场监督管理总局国家标准化管理委员会ⅠGB/T31497—2024/ISO/IEC27004:2016前言 Ⅲ引言 Ⅳ1范围 12规范性引用文件 13术语和定义 14结构和概述 15基本原理 25.1测量的必要性 25.2满足GB/T22080的要求 25.3结果的有效性 35.4益处 36特征 36.1概述 36.2监视内容 46.3测量内容 46.4监视、测量、分析和评价的时间 56.5监视、测量、分析和评价的执行者 57测度的类型 67.1概述 67.2实施进度的测度 67.3有效性测度 68过程 78.1概述 78.2识别信息需求 88.3建立和维护测度 88.4建立规程 118.5监视和测量 118.6分析结果 118.7评价信息安全绩效和ISMS有效性 128.8评审和改进监视、测量、分析和评价过程 128.9保留和沟通文档化信息 12附录A(资料性)信息安全测量模型 13附录B(资料性)测量构造示例 15附录C(资料性)自由文本测量构造示例 42附录NA(资料性)GB/T22081—2016与ISO/IEC27002:2022控制的对应关系 43参考文献 49ⅢGB/T31497—2024/ISO/IEC27004:2016本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件代替GB/T31497—2015《信息技术安全技术信息安全管理测量》,与GB/T31497—2015相比,除结构调整和编辑性改动外,主要技术变化如下:a)更改了“范围”的表述(见第1章,2015年版的第1章);b)更改了第5章的标题和内容,标题由“信息安全测量概述”修改为“基本原理”,删掉了“信息安全测量模型”相关内容(见第5章,2015年版的第5章);c)删除了“管理职责”(见2015年版的第6章);d)增加了“特征”(见第6章);第7章,2015年版的第5章);f)更改了信息安全管理监视、测量、分析和评价的过程(见第8章,2015年版的第8章、第9章和第10章)。本文件等同采用ISO/IEC27004:2016《信息技术安全技术信息安全管理监视、测量、分析和本文件做了下列最小限度的编辑性改动:a)增加了有利于理解本文件的注(见第4章,5.2);b)增加了资料性附录NA,给出了GB/T22081—2016与ISO/IEC27002:2022中控制的对应关系(见附录NA)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、中国合格评定国家认可中心、北京赛西认证有限责任公司、杭州安恒信息技术股份有限公司、北京邮电大学、上海三零卫士信息安全有限公司、道普信息技术有限公司、中电长城网际系统应用有限公司、北京航空航天大学、华为技术有限公司、中国科学院信息工程研究所、西安电子科技大学、重庆邮电大学、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、北京中关村实验室、上海观安信息技术股份有限公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心、公安部第三研究所、山东正中信息技术股份有限公司、重庆市信息通信咨询设计院有限公司、启明星辰信息技术集团股份有限公司、西安交大捷普网络技术有限公司、国网新疆电力有限公司电力科学研究院、广东省信息安全测评中心、长扬科技(北京)股份有限公司、北京源堡科技有限公司、云智慧(北京)科技有限公司、远江盛邦(北京)网络安全科技股份有限公司、新华三技术有限公司。本文件主要起草人:上官晓丽、王惠莅、付志高陈纪旸。本文件及其所代替文件的历次版本发布情况为:—2015年首次发布为GB/T31497—2015;—本次为第一次修订。ⅣGB/T31497—2024/ISO/IEC27004:2016引言本文件旨在帮助组织评价信息安全绩效和信息安全管理体系的有效性,以满足GB/T22080—信息安全管理体系(ISMS)的监视和测量结果会对ISMS的治理、管理、有效运行和持续改进有关的决策提供支持。与其余ISO/IEC27000系列标准一样,组织根据自身实际情况和需要考虑、解释和调整本文件的内容。本文件中的概念和方法是广泛适用的,但任何特定组织所需的具体测度取决于在实践中差异很大的环境因素(如其规模、行业、成熟度、信息安全风险、合规义务和管理风格)。依据GB/T22080实施ISMS的组织使用本文件。但本文件没有为符合GB/T22080的ISMS提出任何新的要求,也没有要求组织一定要遵守本文件提出的指南。按照GB/T22080—2016中9.1的要求对标准文本进行了重新编写,前言中仅列出了主要的技术变动,详细变动见本文件具体内容。1GB/T31497—2024/ISO/IEC27004:2016信息技术安全技术信息安全管理1范围本文件提供了旨在协助组织评价信息安全绩效和ISMS(信息安全管理体系)有效性,以满足GB/T22080—2016中9.1要求的指南。本文件规定了:a)信息安全绩效的监视和测量;b)ISMS(包括其过程和控制)有效性的监视和测量;c)监视和测量结果的分析和评价。本文件适用于各种类型和规模的组织。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22080—2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇(Informationtechnolo-gy—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)注:GB/T29246—2023信息安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2018,IDT)3术语和定义ISO/IEC27000界定的术语和定义适用于本文件。4结构和概述本文件的结构如下:a)基本原理(第5章);b)特征(第6章);c)测度的类型(第7章);d)过程(第8章)。这几章的排序旨在帮助理解并与GB/T22080—2016中9.1的要求形成如图1所示的对应关系。组织首先识别满足要求所需的信息(称之为“信息需求”),然后确定用于满足信息需求的测度。监视和测量过程产生了随后要被分析的数据,用分析结果来评价是否满足组织的信息需求。注:测量是确定一个值的过程,测度是作为测量结果赋值的变量。此外,附录A描述了信息安全测量模型,包括测量模型的组成部分与GB/T22080—2016中9.1的要求之间的关系。2GB/T31497—2024/ISO/IEC27004:2016ISMS过程和信息安全绩效领域提供实际指导。附录B中的示例使用了表1中给出的建议模板,附件C则提供了使用另一种基于自由文本格式的示例。图1与GB/T22080—2016,9.1的对应5基本原理5.1测量的必要性ISMS的总体目标是在其范围内保持信息的保密性、完整性和可用性,通过ISMS活动制定实现该目标的计划以及这些计划的实施。但是,仅这些活动本身并不能保证完成这些计划就能达到信息安全目标。因此,在GB/T22080规定的ISMS中,有多处要求组织评价计划和活动是否确保实现了信息安全目标。5.2满足GB/T22080的要求GB/T22080—2016的9.1要求组织评价信息安全绩效和ISMS有效性,在第7章给出了能够满足这些要求的测度类型。GB/T22080—2016的9.1还要求组织确定:a)需要被监视和测量的内容,包括信息安全过程和控制;b)适用的监视、测量、分析和评价的方法,以确保得到有效的结果;注:所选的方法产生可比较和可再现的有效结果。c)何时应执行监视和测量;d)谁应监视和测量;e)何时应分析和评价监视和测量的结果;f)谁应分析和评价这些结果。图1提供了本文件与这些要求的对应。最后,GB/T22080—2016的9.1要求组织保留适当的文件作为监视和测量结果的证据(见8.9)。3GB/T31497—2024/ISO/IEC27004:2016GB/T22080—2016的9.1还指出,所选择的方法宜产生可比较和可再现的结果,以便确认它们是有效的(见6.4)。5.3结果的有效性GB/T22080—2016的9.1b)要求组织选择测量、监视、分析和评价的方法,以确保有效的结果。该条款指出:为了获得有效的结果,结果宜是可比较的和可再现的。为实现这一目标,组织宜考虑以下几个方面来收集、分析和报告测度。a)为了从基于不同时间点的监视中获得测度的可比较结果,确保ISMS的范围及其环境没有变化是很重要的。b)测量和监视的方法或技术发生改变时,一般不会产生可比较的结果。为了保持可比性,可以要求进行特定的测试,比如同时分别使用原方法和变化后的方法。c)如果测量和监视所用方法或技术包括主观要素,则需要采取特定的步骤以获得可再现的结果。例如,宜对照设定的准则来评价问卷调查结果。d)在某些情况下,只能在特定情况下才会产生再现性。例如,有些情况下,结果是不可再现的,但在将其汇总后,结果是有效的。5.4益处实现ISMS过程与控制并确保信息安全实施,能产生大量的组织效益和经济效益。主要效益可能包括如下内容。a)强化责任:监视、测量、分析和评价能通过帮助识别未正确实施的、未实施的或无效的特定信息安全过程或控制,来强化对信息安全的责任。b)改进信息安全绩效和ISMS过程:监视、测量、分析和评价能使组织量化其在ISMS范围内保护信息方面的改进,并证实其在实现组织信息安全目标方面可量化的进展。GB/T22080(及其他标准)以及适用的法律、法规和规章制度。d)支持决策:监视、测量、分析和评价能通过向风险管理过程提供可量化的信息来支持风险指引决策。它能使组织衡量以往的和当前的信息安全投资的成败,并能提供可量化的数据,以支持未来投资的资源分配。6特征6.1概述监视和测量是评价信息安全绩效和ISMS有效性的第一步。面对大量信息安全相关实体的各种各样的可测量属性,并不是非常明确宜测量哪些属性。这是一个重要的问题,因为测量太多的或错误的属性是不切实际的、代价高昂的和适得其反的。对众多的属性进行测量、分析和报告,除了会产生明显的成本之外,倘若没有合适的测度,还很有可能出现关键问题被淹没于大量信息中或者完全被遗漏掉。为了确定要监视和测量的内容,组织宜首先考虑在评价信息安全实施和ISMS有效性方面希望实现的目标,这可使组织确定其信息需求。组织接下来宜决定需要采取哪些测度来支持每一种不同的信息需求,以及需要哪些数据以生成所需的测度。因此,测量宜始终与组织的信息需求相对应。4GB/T31497—2024/ISO/IEC27004:20166.2监视内容监视是确定系统、过程或活动的状态,以满足特定的信息需求。能被监视的系统、过程和活动包括但不限于:a)ISMS过程的实施;b)事件管理;c)脆弱性管理;d)配置管理;e)安全意识和培训;f)访问控制、防火墙和其他事件日志;g)审核;h)风险评估过程;i)风险处置过程;j)第三方风险管理;k)业务连续性管理;l)物理和环境安全管理;m)系统监视。这些监视活动产生的数据(事件日志、用户访谈、培训统计、事件信息等),能用于支持其他测度。在定义被测量的属性的过程中,能要求实施额外的监视,以提供支持性信息。需要注意的是,监视能使组织确定风险是否已经发生,从而提示组织能采取什么措施来处置该风险。还需要注意的是,某些类型的信息安全控制具有明确的监视目的。在使用这些控制的输出来支持测量时,组织宜确保测量过程考虑了所用的数据是在采取任何处置措施之前还是之后获得的。6.3测量内容测量是指为确定实施进度或有效性的值、状态或趋势的活动,以帮助识别潜在的改进需求。测量能应用于任何ISMS过程、活动、控制和控制组。例如,GB/T22080—2016的7.2c)要求组织适用时采取行动以获得必要的能力。组织能确定是否所有需要培训的人员都已经接受了培训,以及培训是否按计划进行,这能用接受过培训的人数或百分比来测量。组织还能确定接受过培训的人员是否实际获得了并持续拥有必要的能力(能用培训后的问卷来测量)。关于ISMS过程,组织宜注意到GB/T22080中有一些条款明确要求确定某些活动的有效性。例审,组织首先宜根据某种规定的测度形式来确定纠正措施的有效性。为了做到这一点,组织宜首先定义适当的信息需求和能满足信息需求的一个或多个测度。第8章中阐述了这一过程。可作为测量对象的ISMS过程和活动包括:a)规划;b)领导;c)风险管理;d)方针管理;e)资源管理;f)沟通;5GB/T31497—2024/ISO/IEC27004:2016g)管理评审;h)文件化;i)审核。关于信息安全实施,最明显的候选对象是组织的信息安全控制或这类控制的组合(甚至是整个风险处置计划)。这些控制是通过风险处置过程确定的并在GB/T22080中被称为必要的控制。它们能是GB/T22080—2016附录A中的控制、特定行业的控制(例如ISO/IEC27010等标准所规定的)、其他标准规定的控制和由组织设计的控制。由于控制的目的是改变风险,因此有很多能被测量的属性,例如:j)控制措施降低事件发生的可能性的程度;k)控制措施减轻事件后果的程度;l)控制措施在发生故障前对事态进行处理的频次;m)控制措施在事态发生后多长时间内检测到事态。6.4监视、测量、分析和评价的时间组织宜根据单个信息需求、所需的测度和支持单个测度的全生命周期的数据,定义实施监视、测量、分析和评价的具体时间表。对支持测度所需数据的收集频次,可高于分析测度和向利益相关方报告该测度的频次。例如,虽然能连续收集安全事件的数据,但向外部利益相关方报告此类数据宜基于特定要求,如严重性(如发生应报告的违规时,可能需要立即告知)或累计值(如发现和阻止企图入侵的情况)。组织宜注意,为了满足某些信息需求,在进行分析和评价之前需要收集适当数量的数据,为评估和比较提供重要基础(例如:进行统计分析时)。此外,监视、测量、分析和评价的过程可能需要测试和微调,然后所形成的测度才可能对组织有用。因此,组织宜确定任何微调的时限(以便持续推进真正的目标:测量ISMS),以及在开始分析和评价之前,监视和收集宜持续多长时间。组织可能在更新其测量活动时调整其测量的时间表,以应对8.2中列出的具体环境变化。例如,如果组织正在从手动数据源过渡到自动数据源,则可能需要改变收集的频率。此外,需要一个基线来比较在不同时间点实施的、可能使用不同方法但都是为了满足同一信息需求的两组测度。组织能选择将其监视、测量、分析和评价活动写到一个测量方案中。但是,GB/T22080没有要求组织要有这样一个方案。6.5监视、测量、分析和评价的执行者组织(考虑到GB/T22080—2016中5.3和9.1的要求)宜规定负责实施监视、测量、分析和评价的个人或角色。监视、测量、分析和评价可以使用手动或自动的方式进行。无论测量是手动还是自动实施,组织都能规定以下与测量相关的角色和职责。a)测量的客户:要求或需要关于ISMS、控制或控制组的有效性相关的信息的管理层和其他利益相关方。b)测量策划者:将可测量属性关联到特定信息需求并完成测量构造的人或部门。c)测量评审者:确认已制定的测量构造是否适合于评价信息安全绩效和ISMS、控制或控制组有效性的人或部门。d)信息所有者:拥有为测度提供输入信息的人或部门。该人员负责提供数据,并常常(但并不一定)负责实施测量活动。e)信息收集者:负责收集、记录和存储数据的人员或部门。f)信息分析者:负责分析数据的人员或部门。g)信息沟通者:负责传达分析结果的人或部门。6GB/T31497—2024/ISO/IEC27004:2016组织能对其中的某些角色,或者是所有的角色进行合并。在整个过程中履行不同角色和责任的个人,可能需要具有不同的技能集以及相关的意识和培训。7测度的类型7.1概述为满足本文件的目的,组织能通过以下两种测度方法来测量所规划活动的实施进度及结果的有效性。a)实施进度的测度:该测度通过所规划活动的特征,如人数、里程碑完成情况或信息安全控制实施的程度来表示所规划的结果。b)有效性测度:该测度表示了所规划活动对组织信息安全目标的影响。由于每个组织都有自身具体的信息安全目标、策略和要求,因此这些测度本质上是特定于具体组织的。需要注意的是,术语“实施进度的测度”和“有效性测度”不宜与GB/T22080—2016中9.1评价信息安全绩效和ISMS有效性的要求相混淆。7.2实施进度的测度实施进度测度能用来展示ISMS过程、相关规程及特定安全控制的实施进展情况。鉴于有效性关注的是所规划活动已经实现的程度和预期的结果,实施进度测度宜关注的是已经实施的信息安全过程和控制的进展情况。这些方法有助于确定ISMS的过程和信息安全控制是否已按要求实施。实施进度测度使用的数据能从会议记录、考勤记录、项目计划、自动扫描工具、其他常用的记录以及记录和监控ISMS活动的手段中获得。宜尽可能以自动化方式完成测度的收集、分析和报告,减少所需的成本和工作以及可能产生的人为错误。示例1:当测量某项信息安全控制的实施程度时,如带硬盘加密功能的笔记本电脑的使用比例,起初测量结果很可能低于100%。当结果达到并保持在100%时,能得出本项测度的结论:信息系统已经完全实施了该安全控制,测量活动可以重新关注其他需要改进的控制。示例2:对于一个新的ISMS,组织宜首先努力确保高层管理人员参加评审会议和召开的其他会议,所规划(或预期)的结果是:除请病假和其他被允许的事先声明外,所有会议都能全员出席。测度能简单地定义为出席的人数和应出席的人数的比例,并对因正当理由缺勤的人数进行修正。起初,这些测度的结果可能显示实际出席人数与应出席人数之间存在差额。但是,随着时间的推移,结果宜达到并保持接近所规划的目标。此时,组织宜开始将测量工作聚焦在有效性测度上(见7.3)。当大多数实施进度测度达到并保持在100%之后,组织宜将其测量集中在有效性测度上。组织不宜完全放弃实施进度测度,因为它能帮助指出需要改进的特定安全控制。但是,随着时间的推移,用于测量的重点和资源宜从这些测度转移到有效性测度上(见7.3)。根据GB/T22080—2016的9.1,管理体系的有效性测度也同样重要。为了运行一个合适的ISMS,组织宜按照计划的时间间隔来测量绩效和有效性。7.3有效性测度宜使用有效性测度来描述ISMS风险处置计划、ISMS过程实现以及控制对组织信息安全目标的有7GB/T31497—2024/ISO/IEC27004:2016效性和影响。这些测度宜被用于确定ISMS过程和信息安全控制是否按预期运行并达到预期结果。根据这些目标,有效性测度能用来量化以下指标,如:a)ISMS节约的成本或通过处理信息安全事件产生的成本;b)ISMS获得/维持的客户信任程度;c)其他信息安全目标的实现。通过将自动监视和评价工具获得的数据与关于ISMS活动的手动导出数据相结合,能建立有效性测度。这需要以一种能直接与ISMS活动和信息安全事件联系起来的方式,在组织范围内跟踪各种测度。为实现这一目标,组织宜具备以下方面的能力:d)通过实施进度测度,对ISMS过程、控制或控制组的实施程度进行评价;e)从自动监视和评价工具收集数据;f)从ISMS活动中手动收集数据;g)对来自多个自动化和人工来源的数据进行规范化和分析;h)向决策者解释并报告该数据。有效性测度将风险处置计划的实现信息与各种资源信息结合起来,能为风险管理过程提供输入。它还能为信息安全对组织的价值提供最直接的洞察,也是高层管理人员最感兴趣的内容。示例3:众所周知,对已知的脆弱性的利用是引发信息安全事件的主要原因。已知脆弱性的数量越多,它们未被处理的时间越长(如打补丁),它们被相关威胁利用的可能性就越大,相关的风险暴露的可能性也就越大。有效性测度能帮助组织确定由此类脆弱性引起的风险暴露情况。示例4:培训课程中各个模块都有特定的培训目标。有效性测度能帮助组织确定每个培训参与者对每一教学单元的理解程度,以及能应用新知识和技能的程度。这些测度通常需要多个数据点,例如:培训后测试的结果、与培训主题相关的事件数据测试,或者是分析与培训主题相关的服务台电话。8过程8.1概述监视、测量、分析和评价(如图2所示)包括以下过程:a)识别信息需求;b)建立和维护测度;c)建立规程;d)监视和测量;e)分析结果;f)评价信息安全实施和ISMS有效性。此外,它还包括一个对上述过程进行评审和改进的ISMS管理过程,见8.8。8GB/T31497—2024/ISO/IEC27004:2016图2监视、测量、分析和评估过程8.2识别信息需求建立测度宜首先识别信息需求,这有助于了解ISMS各个方面的运行特征和/或绩效,比如ISMS的以下方面。a)利益相关方的需求。b)组织的战略方向。c)信息安全策略和目标。d)风险处置计划。宜开展以下活动以确定有关的信息需求。e)检查ISMS及其过程和其他要素,如:1)信息安全策略和目标、控制目标和控制;2)信息安全的法律法规、规章、合同和组织要求;3)信息安全风险管理过程的结果。f)基于以下准则对已识别的信息需求进行优先级排序,如:1)风险处置优先级;2)组织的能力和资源;3)利益相关方需求;4)信息安全策略和目标,以及控制目标;5)满足组织、法律法规、规章和合同所需的信息;6)通过测量获得的信息的价值与相应的测量成本。g)从优先级列表中选择需要通过测量来满足的某一项信息需求。h)将选定的信息需求编制成文件,并传达给所有利益相关方。8.3建立和维护测度8.3.1概述组织宜建立测度,然后按计划的时间间隔或当ISMS环境发生重大变化时,评审并系统性地更新这些测度。这类变化可能包括:a)ISMS的范围;9GB/T31497—2024/ISO/IEC27004:2016b)组织结构;c)利益相关方,包括利益相关方的角色、职责和权限;d)经营目标和要求;e)法律法规和规章;f)在随后几个周期内取得的稳定的预期结果;g)信息处理技术和系统的引入或处置。建立或更新这些测度可能包括以下步骤:h)识别可支持信息需求的现有安全实践;i)开发或更新测度;j)记录测度并定义实施的优先次序;k)保持管理层知情和参与。更新测度所花费的时间和精力预计会少于最初建立测度所需的。8.3.2识别支持信息需求的现有安全实践一旦确定了信息需求,组织宜将现有的测量和安全实践作为测量的潜在组成部分编入清单。已有的测量和安全实践可能包括以下方面的测量:a)风险管理;b)项目管理;c)合规报告;d)安全策略。8.3.3开发或更新测度测度宜响应信息需求。它既能依赖现有的实践,也能是需要新的实践。新确定的测度还能涉及对现有测度或测量过程的调整。无论如何,都宜充分详细地定义所确定的测度,以便于这些测度的实施。例如,为支持安全测度而可能收集的数据包括:a)各种日志和扫描的输出;b)培训和其他人力资源活动的统计数据;c)相关调查和问卷;d)事件统计;e)内部审核的结果;f)业务连续性/灾难恢复演练的结果;g)管理评审的报告。宜检查上述及其他可能的内部或外部数据来源,并识别现有数据的类型。所选择的测度宜支持信息需求的优先级,并能考虑:h)数据收集的便利性;i)收集和管理数据所需人力资源的可用性;j)适当工具的可用性;k)该测度支持的潜在相关绩效指标的数量;l)是否易于解释;m)已有测量结果的用户数量;n)表明该测度能够满足目的或信息需要的证据;o)收集、管理和分析数据所需的成本。组织宜按照一种将测度与相关的信息需求(或其他需求)关联起来的形式来记录每项测度,并提供10GB/T31497—2024/ISO/IEC27004:2016关于描述测度的特征以及如何收集、分析和报告它的足够信息。表1提供了建议的信息描述符。附录B中的示例使用表1作为模板。其中两个示例(即B.20和B.28)有一个附加的信息描述符(称为“措施”),它定义了当目标未满足时要采取的措施。组织若认为该信息描述符有用,可将其包括在内。描述测量构造的方法不止一种,附录C展示了另一种自由文本形式的方法。需要注意的是,可能需要提供不同的测度来满足不同内部或外部测量客户的需求(如表1所示)。例如,解决高层管理人员信息需求的测度可能与面向系统管理员的测度不同(如,各利益相关方可以有特定的范围、侧重点或颗粒度)。每个测度宜至少对应一个信息需求,而单个信息需求可能需要多个测度。组织宜谨慎使用主观测度,因为由两个或更多的主观测度组合而成的测度可能会对最终结果产生不利影响。表1安全测度描述符示例信息描述符意义或目的测度ID特定的标识符信息需求理解该测度作用的全面需求测度公式/得分如何对测度进行评价、计算或计分测量的期望结果,例如,一个里程碑或一个统计测度或一组阈值。请注意,可能需要持续监测以确保目标持续实现实施的证据验证测量实施的证据,有助于识别不理想结果的可能原因,并为过程提供输入。为公式提供输入的数据频率数据收集和报告的频率,有多个频率责任方负责收集和处理测度的人员。至少宜识别信息所有者、信息收集者和测量的客户数据源潜在的数据源可能是数据库、跟踪工具、组织的其他部门、外部组织或特定的个人角色报告格式测度的收集和报告方式,例如,以文本、数字、图形(饼图、图表、折线图、条形图等),作为“仪表板”或其他展示形式的一部分用收集一次数据并将其用于多种目的的方式来定义测度十分重要。在理想情况下,同样的数据宜支持各种类型的测度,以响应多个不同利益相关方的信息需求。还要注意,最容易实现的测度不一定是最有意义的或最相关的。目标宜说明特定测度在涉及ISMS过程和控制的实施、信息安全目标的实现以及ISMS有效性评价方面的最终预期状态。得到与现有测度或所选测度有关的历史数据能有助于目标的制定。过去观察到的趋势在某些情况下能帮助了解以前的绩效状况,并指导创建可实现的目标。但是,组织还宜注意,如果未经适当考虑而只根据以前取得的成果或以往的绩效来设定目标,能使现状保持不变,甚至阻碍持续改进。8.3.4记录测度和实施优先级次序定义所需测度后,宜根据每项信息需求的优先级和获取数据的可行性,对测度集进行文档化,并确定实施的优先次序。首先宜执行实施进度测度,以确保实施了ISMS的过程及其控制。一旦实施进度测度产生了目标值,则也可能实施有效性测度。关于何时实施监视和相关活动的指南见6.4。11GB/T31497—2024/ISO/IEC27004:20168.3.5保持管理层的知情和参与组织中不同层级的管理人员需要参与测量的开发和实施,以便这些测量能够反映管理人员的需求。此外,宜定期以适当格式和形式向管理层报告最新的信息,确保管理层在测度的开发、实施和应用的整个过程中始终了解安全测量活动。8.4建立规程实施已定义的和已明确实施先后次序的测度时,采取以下步骤。a)宜使参与安全测量过程的利益相关方了解测量活动及其基本原理。b)宜确定数据的收集和分析工具,并在需要时进行调整,以有效且高效地收集测度。组织宜建立数据收集、分析和报告测度的规程,举例如下。c)数据收集,包括数据的安全存储和验证。规程宜定义如何收集、存储和验证数据,以及进一步处理需要哪些背景信息。组织能运用以下技术来进行数据验证:1)确保数据值在可能的阈值范围内;2)检查期望值列表;3)获取背景信息,如数据采集时间。d)数据分析和报告测度分析结果。该规程宜明确数据分析技术和报告测度结果的频率。e)报告的方法和格式,可能包括:1)记分卡,通过整合高层次绩效指标来提供战略信息;注:这些可称为“关键绩效指标”(见附录A中的信息安全测量模型)。2)可执行和可操作的指示板,聚焦战略目标而不是具体的控制和过程;3)报告格式的范围从简单静态的风格,如给定时间段的测度列表,到更复杂的交叉报表,具有嵌套分组、滚动总结以及动态追溯或链接功能。当利益相关方需要查看原始数据时,报表最好使用易于阅读的格式;4)用于展示动态值的评判标识,包括警报、附加的图形元素和终点标记。8.5监视和测量宜制定通过人工或自动方式进行监视、测量、存储和验证的规程。能通过根据检查清单确认所收集到的数据是否满足要求的方式来实施数据验证,以确保缺失数据对分析造成的影响最小,并且值是正确的或在可识别的范围内。宜收集足够的数据以确保分析结果的可靠性。组织宜定期收集、分析、评价并向利益相关方报告测度。当出现8.3.1所述的任何情形时,组织宜考虑更新其监视、测量、分析和评价过程。在发布报告、指示板等中的信息之前,组织宜确定如何收集共享的数据和结果以及与谁共享,因为从保密性的角度来看,与信息安全相关的数据可能是比较敏感的。此外,宜检查和评价数据收集过程,以确认正在收集正确的测度而且是以一种可重复的、精确的和一致的方式来收集。8.6分析结果对收集数据的分析宜结合各项测度的目标。ISO10017提供了统计分析的实施指南。宜对数据分析的结果进行解释。对结果进行分析的人员(即:信息沟通者)宜能根据结果得出一些初步结论。但是,由于信息沟通者可能不直接参与技术和管理过程,所以需要由其他利益相关方对这些结论进行评审。所有解释都宜考虑测度所处的环境。数据分析宜识别已实施的ISMS、控制或控制组的预期结果和实际测量结果之间的差距。所识别12GB/T31497—2024/ISO/IEC27004:2016的差距能指出对已实施的ISMS(包括其范围、策略、目标、控制、过程和规程)的改进需求。8.7评价信息安全绩效和ISMS有效性根据5.2,组织宜:a)根据组织信息安全绩效和ISMS有效性相关问题来阐述信息需求;b)根据信息需求来阐述测度。因此,如附录A所示,对监视和测量结果进行分析将提供可用于满足信息需求的数据。评价是对数据进行解释并确定组织信息安全绩效和ISMS有效性的过程。8.8评审和改进监视、测量、分析和评价过程监视、测量、分析和评价过程应宜根据ISMS的需要不断改进。持续改进活动可能包括以下方面:a)征求利益相关方的反馈意见;b)根据经验教训和其他反馈,调整收集和分析的技术;c)修改实施规程;d)信息安全基准数据。8.9保留和沟通文档化信息GB/T22080—2016的9.1仅要求组织保留文档化信息作为组织实施监视和测量的证据。组织可自行决定适合的方式来满足该要求。例如,组织能记录用于分析和评价结果的过程和方法。报告被用于与利益相关方沟通测量结果,编写报告时宜使用适当的格式。分析的结论宜由利益相关方评审,以确保对数据的正确解释。宜对数据分析的结果进行文档化,以便与利益相关方沟通。信息沟通者宜确定如何沟通信息安全测量结果,如:a)对内和对外宜分别报告哪些测量结果;b)与单个利益相关方和多个利益相关方相关的测度清单;c)根据每个群体的需求来定制拟提供的特定测量结果和展示方式;d)从利益相关方获得反馈的方式,这些反馈可用于评价测量结果的有用性和信息安全测量的有效性。13GB/T31497—2024/ISO/IEC27004:2016附录A(资料性)信息安全测量模型在ISO/IEC/IEEE15939中给出并解释了图A.1所示的测量信息模型,可用于ISMS。模型描述了如何量化相关实体的属性,并将其转换为为决策提供依据的指标。该模型是一个先将信息需求关联到相关的实体和关注的属性的结构。例如,信息需求可以是员工对信息安全策略的了解程度。实体包括过程、控制、文件化信息、系统、设备、人员和资源。ISMS中相关实体示例有:风险管理过程、审核过程、信息分类、访问权限管理、信息安全方针、移动设备策略、后端计算机、管测量信息模型帮助测量策划者确定在监视、测量、分析和评价期间需要明确的内容。GB/T22080—2016的9.1要求组织对信息安全绩效和ISMS的有效性进行评价,这通常涉及指标(KPI,也称为“关键成功指标”)。为了确定这样的指标,组织能够建立基础测度,并通过使用结合了两个或更多基础测度的测量函数来导出一个测度。本附录中的测量模型(使用基础测度、导出测度、绩效指标和测量结果)是满足ISMS测量要求方法的一个示例,测量、分析和评价的过程还可参考其他可能的方法。14GB/T31497—2024/ISO/IEC27004:2016图A.1测量信息模型中的主要关系15GB/T31497—2024/ISO/IEC27004:2016附录B(资料性)测量构造示例B.1概述本附录中的示例遵循了本文件中规定的原则。表B.1将测量构造示例映射到GB/T22080—2016中的特定条款或控制目标编号。表B.1测量构造示例到GB/T22080—2016中的特定条款或控制目标编号的映射相关ISMS过程和控制(GB/T22080—2016中的章条或控制编号)测量构造示例名称5.1,7.1B.2资源分配7.5.2,A.5.1.2B.3策略评审5.1,9.3B.4管理层承诺8.2,8.3B.5风险暴露9.2,A.18.2.1B.6审核方案10B.7改进措施10B.8安全事件成本10,A.16.1.6B.9从信息安全事件中学习B.10纠正措施的实施A.7.2B.11ISMS培训或ISMS意识A.7.2.2B.12信息安全培训A.7.2.1,A.7.2.2B.13信息安全意识符合性A.7.2.2B.14ISMS意识活动有效性A.7.2.2,A.9.3.1,A.16.1B.15社会工程预防A.9.3.1B.16口令质量-人工的A.9.3.1B.17口令质量-自动化的A.9.2.5B.18评审用户访问权限B.19物理入口控制系统评价B.20物理入口控制有效性A.11.2.4B.21定期维护管理B.22变更管理B.23恶意代码防范B.24反恶意软件A.12.2.1,A.17.2.1B.25总可用性A.12.2.1,A.13.1.3B.26防火墙规则16GB/T31497—2024/ISO/IEC27004:2016表B.1测量构造示例到GB/T22080—2016中的特定条款或控制目标编号的映射(续)相关ISMS过程和控制(GB/T22080—2016中的章条或控制编号)测量构造示例名称B.27日志文件评审B.28设备配置A.12.6.1,A.18.2.3B.29滲透测试和脆弱性评估B.30脆弱性全景B.31/B.32第三方协议中的安全A.16B.33安全事件管理有效性A.16.1B.34安全事件趋势B.35安全事态报告B.36ISMS评审过程A.18.2.3B.37脆弱性覆盖率每个示例都包含了GB/T22080—2016中条款或控制目标编号关联的交叉引用。此外,对于两个示例(B.20和B.28),还包括一个称为“措施”的附加信息描述符,它定义了在未达到目标的情况下要采取的措施。如果组织认为该信息描述符有用,可将其包括在内。事实上,描述测量构造的方法不止一种,附录C展示了一种可替代的自由形式的方法。B.2资源分配资源分配测量构造示例见表B.2。表B.2资源分配测量构造示例信息描述符方法或目的测度ID由组织定义信息需求根据原始预算量化分配给信息安全的资源测度预算周期内分配给信息安全的资源明细(内部人员、合同工、硬件、软件、服务)公式/评分预算期间内分配的资源/使用的资源1实施证据信息安全资源监控频率年度责任方信息所有者:信息安全经理信息采集者:信息安全经理信息客户:董事会数据源信息安全预算信息安全有效支出信息安全资源使用情况报告报告格式雷达图,每个轴有一个资源类别,均显示分配和使用的资源关联GB/T22080—2016,5.1领导和承诺GB/T22080—2016,7.1资源17GB/T31497—2024/ISO/IEC27004:2016B.3策略评审策略评审测量构造示例见表B.3。表B.3策略评审测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评价是否按计划的时间间隔或者当发生重大变化时对信息安全策略进行评审测度策略评审的百分比公式/评分上一年度评审的信息安全策略数/已落实的信息安全策略数×100绿色:>80%,橙色≥40%,红色<40%实施证据文件历史记录中提及文件评审或文件清单上注明了上一次评审的日期频率收集:在为评审定义的计划间隔之后(例如每年或重大变更之后)报告:每次收集责任方信息所有者:获批对开发、评审和评价策略承担管理职责的策略所有者信息采集者:内审员测量客户:首席信息安全官数据源策略评审计划、安全策略的历史记录部分、文档列表报告格式用饼图表示现状,用折线图表示符合性发展关联GB/T22080—2016,A.5.1.2信息安全策略的评审GB/T22080—2016,7.5.2创建和更新文件化信息B.4管理层承诺管理层承诺测量构造示例见表B.4。表B.4管理层承诺测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估有关管理评审活动的管理层承诺和信息安全评审活动测度a)迄今为止完成的管理层评审会议b)迄今为止管理层评审会议的平均参与率公式/评分a)将[举行的管理层评审会议]除以[计划的管理层评审会议]b)计算所有管理层评审会议参与率的平均值和标准差指标a)的结果比率在0.7和1.1之间,可以得出达成控制目标、无需采取措施的结论。即使未达到以上分数,也宜至少在0.5以上,才能作出最小达成的结论。关于指标b),根据标准差计算的置信度表明实现接近平均参与率的实际结果的可能性。非常宽泛的置信度表明可能存在较大的偏离以及需要制定应急计划来处理这一结果18GB/T31497—2024/ISO/IEC27004:2016表B.4管理层承诺测量构造示例(续)信息描述符方法或目的实施证据1.1统计到目前为止安排的管理层评审会议1.2迄今为止每次管理层评审会议,对计划参加的经理进行计数,并为临时举行的计划外会议添加一个默认值的新条目2.1.1统计迄今为止举行的计划内的管理层评审会议2.1.2统计迄今为止举行的计划外的管理层评审会议2.1.3统计到目前为止重新安排的管理层评审会议2.2对于所有举办的管理层评审会议,计算参会管理者的数量频率收集:每月分析:季度报告:季度测量修订:每2年评审和更新一次测量周期:适用2年责任方信息所有者:质量体系经理(假设质量管理体系和ISMS管理体系合并)信息采集者:质量经理;信息安全经理测量客户:负责ISMS的经理;质量体系经理数据源1.信息安全管理评审计划/时间表2.管理评审纪要/记录报告格式折线图,描述了具有几个数据收集准则的指标,以及带有测量结果说明的报告期间。数据收集和报告周期的数量宜由组织确定关联GB/T22080—2016,9.3管理评审GB/T22080—2016,5.1领导和承诺B.5风险暴露风险暴露测量构造示例见表B.5。表B.5风险暴露测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估组织面临的信息安全风险测度a)超出可接受阈值的中高风险b)及时评审高风险和中风险公式/评分a)宜确定高风险和中风险的阈值,并在违反阈值时提醒责任方b)未更新状态的风险数1实施证据更新的风险登记簿频率收集:至少每季度一次报告:每季度19GB/T31497—2024/ISO/IEC27004:2016表B.5风险暴露测量构造示例(续)信息描述符方法或目的责任方信息所有者:安全人员信息采集者:安全人员数据源信息风险登记簿报告格式高风险趋势可接受的中高风险趋势关联GB/T22080—2016,8.2信息安全风险评估GB/T22080—2016,8.3信息安全风险处置B.6审核方案审核方案测量构造示例见表B.6。表B.6审核方案测量构造示例信息描述符方法或目的测度ID由组织定义信息需求审核方案的完整性测度执行的评审总数与计划的评审总数相比公式/评分执行的审核总数/计划的审核总数×100。>95%实施证据审核方案和有关监测报告频率年度责任方信息所有者:审核经理信息采集者:审核经理信息客户:最高管理层数据源审核方案和审核报告报告格式将每一抽样年度完成的审核与方案的比率联系起来的趋势图关联GB/T22080—2016,9.2内部审核GB/T22080—2016,A.18.2.1信息安全的独立评审B.7改进措施改进措施测量构造示例见表B.7。20GB/T31497—2024/ISO/IEC27004:2016表B.7改进措施测量构造示例信息描述符方法或目的测度ID由组织定义信息需求根据计划验证改进措施的状态及其管理测度按照时间、成本和质量(即要求)采取的措施与所有计划措施的百分比这些措施宜在时间表开始时已计划好(即启动、待命和进行中)公式/评分按时间、成本和质量采取的措施/措施数量×10090%实施证据每个措施的状态监控频率季度责任方信息所有者:项目管理办公室信息采集者:项目管理办公室信息客户:信息安全经理数据源相关项目计划报告格式所有相关措施及其状态(实际的与计划的时间、成本和质量预测对比)列表,以及时间、成本和质量方面的行动占时间表内相关行动数量的百分比关联GB/T22080—2016,第10章改进需要注意的是,可通过考虑对各个措施的重要性(例如,处理高风险的措施)进行加权来改进本测度。所有相关操作的列表宜与综合结果一起列出,以便大量非关键但在可接受范围内的措施不会隐藏少量超出可接受范围的关键措施。B.8安全事件成本安全事件成本测量构造示例见表B.8。表B.8安全事件成本测量构造示例信息描述符方法或目的测度ID由组织定义信息需求对因缺乏信息安全而产生成本的考量测度采样周期内发生信息安全事件的成本总和公式/评分总计(每次信息安全事件的成本)小于组织定义的可接受阈值实施证据系统性地收集每次信息安全事件的成本频率季度责任方信息所有者:计算机安全事件响应小组(CSIRT)信息采集者:信息安全经理信息客户:高层管理者21GB/T31497—2024/ISO/IEC27004:2016表B.8安全事件成本测量构造示例(续)信息描述符方法或目的数据源事件报告报告格式显示本次和以往采样期间信息安全事件成本的柱状图。接下来可能深入分析:—每次信息安全事件的平均成本;—每个信息安全事件类别的每次信息安全事件的平均成本(类别宜事先定义)关联GB/T22080—2016,第10章改进B.9从信息安全事件中学习从信息安全事件中学习测量构造示例见B.9。表B.9从信息安全事件中学习测量构造示例信息描述符方法或目的测度ID由组织定义信息需求验证安全事件是否触发改善当前安全状况的措施测度触发信息安全改进措施的安全事件数公式/评分触发改进措施的安全事件总数/安全事件总数值宜高于组织定义的阈值实施证据与安全事件相关的行动计划频率收集:每季度报告:每半年责任方信息所有者:计算机安全事件响应小组(CSIRT)信息采集者:信息安全经理信息客户:信息安全经理数据源事件报告报告格式显示本次和以往采样期间信息安全事件成本的柱状图。接下来可能深入分析:—每次信息安全事件的平均成本—每个信息安全事件类别的每次信息安全事件的平均成本(类别宜事先定义)关联GB/T22080—2016,第10章改进GB/T22080—2016,A.16.1.6从信息安全事件中学习B.10纠正措施的实施纠正措施的实施测量构造示例见表B.10。22GB/T31497—2024/ISO/IEC27004:2016表B.10纠正措施的实施测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估纠正措施实施的绩效测度a)未实施纠正措施的比率b)无理由未实施纠正措施的比率c)状态趋势公式/评分a)将[迄今未实施的纠正措施]除以[迄今计划的纠正措施]b)将[无理由未实施的纠正措施]除以[迄今计划的纠正措施]c)将状态与以前的状态进行比较为了得出达到目标和不需采取措施的结论,指标a)和指标b)的比率宜分别在0.4与0.0之间和0.2与0.0之间,指标c)的趋势在过去两个报告期内宜一直下降。指标c)宜与以前的指标相比较,以便能检查纠正措施实施的趋势实施证据1.统计迄今为止计划实施的纠正措施2.统计截止日期前已实施的纠正措施3.统计计划实施但未实施的纠正措施及其原因频率收集:季度分析:季度报告:季度测量修订:每年审查一次测量周期:适用1年责任方信息所有者:负责ISMS的经理信息收集者:负责ISMS的经理测量客户:负责ISMS的经理、信息安全经理数据源纠正措施报告报告格式带测量结果说明的堆积条形图。测量结果包括发现和可能采取的管理措施摘要。摘要描述纠正措施的总数,分为已实施、无正当理由未实施和有正当理由未实施关联GB/T22080—2016,10.1不符合及纠正措施B.11ISMS培训或ISMS意识ISMS培训或ISMS意识测量构造示例见表B.11。表B.11ISMS培训或ISMS意识测量构造示例信息描述符方法或目的测度ID由组织定义信息需求测量有多少员工接受了与ISMS相关的意识培训,并根据组织的信息安全策略建立控制合规性测度参加ISMS意识培训的员工百分比23GB/T31497—2024/ISO/IEC27004:2016表B.11ISMS培训或ISMS意识测量构造示例(续)信息描述符方法或目的公式/评分I1=接受ISMS培训的员工人数/需要接受ISMS培训的员工人数×100I2=去年更新ISMS培训的员工人数/范围内员工人数×100绿色:如果I1>90%且I2>50%否则为黄色:如果I1>60%且I2>30%否则为红色红色—需要干预,一定要进行原因分析,以确定不符合和表现不佳的原因黄色—宜密切关注指标信号是否可能滑至红色绿色—无需任何操作实施证据所有参与意识培训的名单;ISMS培训字段/行填充为“已接收”的日志/登记簿计数频率收集:每月,每月第一个工作日分析:季度报告:季度测量修订:每年审查一次计量周期:年度责任方信息所有者:人力资源培训经理信息采集者:培训管理-人力资源部测量客户:负责ISMS的经理、首席信息安全官数据源员工数据库、培训记录、意识培训参与列表报告格式条形图,根据目标进行颜色编码。宜在条形图中附上措施含义和可能采取的管理措施的简短摘要或者使用饼图表示现状,使用折线图表示符合性发展关联GB/T22080—2016,7.2能力B.12信息安全培训信息安全培训测量构造示例见表B.12。表B.12信息安全培训测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估是否符合年度信息安全意识培训要求测度接受年度信息安全意识培训的人员百分比公式/评分接受年度信息安全意识培训的员工人数/需要接受年度信息安全意识培训的员工人数×10024GB/T31497—2024/ISO/IEC27004:2016表B.12信息安全培训测量构造示例(续)信息描述符方法或目的0%~60%红色;60%~90%黄色;90%~100%绿色。对于黄色,如果未达到每季度至少10%的进度,则评级自动为红色红色—需要干预,一定要进行原因分析,以确定不符合和表现不佳的原因黄色—宜密切关注指示信号是否可能滑至红色绿色—无需任何改进措施实施证据年度信息安全意识培训字段/行填充为“已接收”的日志/注册表计数频率收集:每月,每月第一个工作日分析:季度报告:季度测量修订:每年审查一次计量周期:年度责任方信息所有者:信息安全官员和培训经理信息采集者:培训管理者-人力资源部测量客户:负责ISMS的经理;安全管理者;培训管理者数据源员工数据库、培训记录报告格式条形图,根据目标进行颜色编码。宜在条形图中附上措施含义和可能采取的管理措施的摘要关联GB/T22080—2016,A.7.2.2信息安全意识、教育和培训B.13信息安全意识符合性信息安全意识符合性测量构造示例见表B.13。表B.13信息安全意识符合性测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估相关人员遵守组织安全意识策略的情况测度1.迄今为止的进度2.迄今为止已签字的进度公式/评分通过添加所有已签字、计划完成的人员的状态,得出“迄今为止的进度”通过将迄今已签字的人员除以计划签字的人员得出“迄今为止已签字的进度”a)[将迄今为止的进度除以(计划迄今的人员乘以100)]和迄今为止已签字的进度b)将状态与以前的状态进行比较a)得出的比率宜分别在0.9与1.1之间和0.99与1.01之间,则能确定达到了控制目标,无需采取措施b)趋势宜是上升或稳定的25GB/T31497—2024/ISO/IEC27004:2016表B.13信息安全意识符合性测量构造示例(续)信息描述符方法或目的实施证据1.1统计到目前为止计划签署并完成培训的人员数量1.2询问负责人完成培训并签字的人员百分比2.1计算计划在此日期之前签署的人员数2.2统计已签署用户协议的人员数频率收集:每月,每月第一个工作日分析:季度报告:季度测量修订:每年审查一次计量周期:年度责任方信息所有者:信息安全官员和培训经理信息采集者:培训管理者;人力资源部测量客户:负责ISMS的经理;安全管理者;培训管理者数据源1.1信息安全意识培训计划/时间表:计划中确定的人员1.2已完成或正在进行培训的人员:与培训有关的人员状况2.1签署用户协议计划/时间表:签署计划中确定的人员2.2签订协议的人员:与签订协议有关的人员状况报告格式标准字体=完全符合标准斜体=部分符合标准粗体=不符合标准关联GB/T22080—2016,A.7.2.1管理责任GB/T22080—2016,A.7.2.2信息安全意识、教育和培训B.14信息安全意识活动有效性信息安全意识活动有效性测量构造示例见表B.14。表B.14信息安全意识活动有效性测量构造示例信息描述符方法或目的测度ID由组织定义信息需求测量员工理解意识活动内容测度信息安全意识活动开展前和开展后通过知识测试的员工比例公式/评分选择作为意识活动对象的一批员工,让他们填写关于意识活动的简短知识测试通过测试的人数百分比绿色:90%~100%的人员通过测试;橙色:60%~90%人员通过测试;红色:<60%的人员通过测试实施证据向员工提供的意识活动文档/信息;参加意识活动的员工清单;知识测试频率收集:意识活动后的一个月报告:每次收集活动26GB/T31497—2024/ISO/IEC27004:2016表B.14信息安全意识活动有效性测量构造示例(续)信息描述符方法或目的责任方信息所有者:人力资源部门信息采集者:人力资源部门信息客户:信息安全经理数据源员工数据库,意识活动信息,知识测试结果报告格式代表通过测试的员工百分比的饼图和代表演变的折线图(如果针对特定主题组织了额外培训)关联GB/T22080—2016,A.7.2.2信息安全意识、教育和培训B.15社会工程预防社会工程预防测量构造示例见表B.15。表B.15社会工程预防测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评价员工是否准备好对某些社会工程攻击做出适当反应测度员工对测试正确反应的比例。例如,没有点击发送给(被选择)员工的包含有钓鱼链接的邮件公式/评分a=点击链接的员工人数/参与测试的员工人数b=1-通过适当途径报告危险邮件的员工人数c=点击链接时遵循指示的员工人数,即透露口令/参与人数d=上述参数的适当(取决于试验的性质)加权和d:0~60:红色;60~80:黄色;90~100:绿色实施证据统计由某链接处理的模拟命令核控制的活跃度。注意尊重个人隐私,对数据匿名处理,这样测试参与者就不必担心测试带来的负面后果频率收集:每月到每年,取决于社会工程攻击的严重程度报告:每次收集活动责任方信息所有者:首席信息安全官信息采集者:IT安全官(接受过隐私方面的培训)测量客户:风险管理者数据源给定服务的员工或用户列表;意识支持、通信(电子邮件或内部网)报告格式测试报告,描述测试细节、测量、结果分析,以及基于目标和协商处理的建议关联GB/T22080—2016,A.16.1信息安全事件的管理和改进GB/T22080—2016,A.9.3.1秘密鉴别信息的使用GB/T22080—2016,A.7.2.2信息安全意识、教育和培训27GB/T31497—2024/ISO/IEC27004:2016B.16口令质量-人工的口令质量-人工的测量构造示例见表B.16。表B.16口令质量-人工的测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估用户访问组织IT系统的口令质量测度与组织口令质量策略一致的口令总数a)口令满足组织口令质量策略的比例b)关于口令质量策略的符合性状态趋势公式/评分统计用户口令数据库中的口令数确定满足组织口令策略的口令数:∑[每个用户符合组织口令质量策略的口令总数]a)口令符合组织口令质量策略的比率b)口令质量策略的符合性状态趋势c)遵守组织口令质量策略的口令总数/注册的口令数d)将当前的比率与之前的比率进行比较如果所得比率高于0.9,则达到控制目标,无需采取措施。如果所得比率在0.8与0.9之间,则控制目标没有实现,但正趋势表明情况有所改善。如果所得比率低于0.8,宜立即采取措施实施证据1.统计用户口令数据库中的口令数2.确定满足组织口令策略的口令数、配置文件、口令设置或配置工具频率收集:取决于关键程度,但最少一年分析:每次收集活动后报告:每次收集活动后测量修订:每年测量周期:每年责任方信息所有者:系统管理员信息采集者:安全员测量客户:负责ISMS的管理者,安全管理者数据源用户口令数据库,个人口令报告格式描述符合组织口令质量策略的趋势线,与前一报告期产生的趋势线叠加关联GB/T22080—2016,A.9.3.1秘密鉴别信息的使用B.17口令质量-自动化的口令质量-自动化的测量构造示例见表B.17。28GB/T31497—2024/ISO/IEC27004:2016表B.17口令质量-自动化的测量构造示例信息描述符方法或目的测度ID由组织定义信息需求评估用户访问组织IT系统的口令的质量测度1.口令总数2.不可破解的口令总数公式/评分1.4h内破解的口令比率2.比率为1的趋势a)不可破解的口令数/口令总数b)与之前的比率相比对如果所得比率高于0.9,则达到控制目标,无需采取措施。如果所得比率在0.8和0.9之间,则控制目标没有实现,但正趋势表明情况有所改善。如果所得比率低于0.8,宜立即采取措施实施证据1.查询员工账户记录2.使用混合攻击对员工系统帐户记录运行口令破解程序频率收集:每周分析:每周报告:每周测量修订:每年复审或更新测量周期:适用3年责任方信息所有者:系统管理员信息采集者:安全员测量客户:负责ISMS的管理者、安全管理者数据源员工系统账号数据库报告格式描述符合组织口令质量策略的趋势线,与前一报告期产生的趋势线叠加关联GB/T22080—2016,A.9.3.1秘密鉴别信息的使用B.18评审用户访问权限评审用户访问权限测量构造示例见表B.18。表B.18评审用户访问权限测量构造示例信息描述符方法或目的测度ID由组织定义信息需求测量在关键系统上执行了系统地实施了多少用户访问权限的评审测度定期评审用户访问权限的关键系统比例公式/评分[定期评审用户访问权限的关键系统比例/被定为关键信息系统的总数]×100绿色:90%~100%;橙色:70%~90%;红色<70%实施证据评审证据(例如:邮件,票务系统中的票、公式验证评审完成)29GB/T31497—2024/ISO/IEC27004:2016表B.18评审用户访问权限测量构造示例(续)信息描述符方法或目的频率收集:升职、降职、解聘等变动后报告:每半年责任方信息所有者:风险责任人信息采集者:首席信息安全官测量客户:信息安全管理者数据源资产清单,用于跟踪是否进行了评审的系统,例如票务系统报告格式用饼图表示现状,用折线图表示符合性发展关联GB/T22080—2016,A.9.2.5用户访问权的评审B.19物理入口控制系统评价物理入口控制系统评价测量构造示例见表B.19。表B.19物理入口控制系统评价测量构造示例信息描述符方法或目的测度ID由组织定义信息需求显示用于访问控制的系统是否存在,及其范围和质量测度物理入口控制系统强度公式/评分范围0~50.无访问控制系统1.有访问系统,使用个人身份识别码(Personalidentificationnumber,PIN)(一种单因子系统)进行入口控制2.有门禁卡系统,使用通行证(一种单因子系统)进行入口控制3.有门禁卡系统,使用通行证和PIN码进行入口控制4.在上述第3条基础上,增加日志功能已激活5.在上述第4条基础上,增加PIN码已被生物鉴别取代(指纹,声纹,虹膜等)3=符合要求实施证据进行定性评估,其中每个子集等级是上述等级的一部分。控制入口控制系统的类型,并检查以下方面:—门禁卡系统存在—PIN码使用—日志功能—生物鉴别证频率收集:每年分析:每年报告:每年测量修订:12个月测量周期:适用于12个月30GB/T31497—2024/ISO/IEC27004:2016表B.19物理入口控制系统评价测量构造示例(续)信息描述符方法或目的责任方信息所有者:设备管理经理信息采集者:内部审核员/外部审核员测量客户:信息安全管理委员会数据源身份管理记录报告格式图关联GB/T22080—2016,A.11.1.2物理入口控制B