信息安全管理測評研究

摘要：信息安全管理測評是信息安全管理的一部分，作為衡量信息安全管理狀態及其績效的信息安全管理測評方法學的研究已成為迫切需要解決的重要課題，其對組織信息安全保障體系的建設、管理和改進具有重要意義。

關鍵詞：信息安全管理；測評；要素；指標

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進入信息化社會，社會發展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經濟、國防、教育、科技、生活等發面發揮著重要的作用，另一方面由于信息技術的迅猛發展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程，其包括關鍵基礎設施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網絡安全、人員安全等。組織要實現信息安全目標，就必須建立一套行之有效信息安全管理與技術有機結合的安全防范體系。信息安全管理包括制定信息安全策略（包括計劃、程序、流程與記錄等）、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1]，強調了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量，根據測量的結果對組織信息安全管理情況進行評價并進一步指導信息安全管理，提高信息安全管理能力和水平，目前已經成為信息安全領域的一個研究熱點[2]。

信息安全管理測評是組織圍繞信息化持續發展與信息安全保障的現狀和未來綜合能力的反映，不僅是對過去和現在的能力展現，而且為未來發展提供保障和動力。在我國，目前關于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標準、方法等。因此，開展信息安全管理測評研究，對組織信息化建設既具有重要的現實意義也具有長遠的持續發展意義。

1 信息安全管理測評發展綜述與需求

關于信息安全測評，美國早在2002年通過的《聯邦信息安全管理法案》中就要求各機構每年必須對其信息安全實踐進行獨立測評，以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試，其頻率視風險情況而定，但不能少于每年一次。在獨立評價的基礎上，聯邦管理與預算局應向國會上報評價匯總結果；而聯邦審計署則需要周期性地評價并向國會匯報各機構信息安全策略和實踐的有效性以及相關要求的執行情況。

2003年7月，美國國家標準與技術研究所（National Institute of Standards and Technology，NIST）發布了NIST SP 800-55《信息技術系統安全測量指南》，其包括以下內容[3]：

1） 角色和職責：介紹發展和執行信息安全測量的主要任務和職責。

2） 信息安全測量背景：介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

3） 測量發展和執行過程：介紹用于信息安全測量發展的方法。

4） 測量項目執行：討論可以影響安全測量項目的技術執行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業信息安全工作組（Corporate Information Security Working Group，CISWG）發布了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標準化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標準——ISO27000系列。2005年1月10日又發布了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27，該文檔是根據CISWG的最佳實踐和測量小組的報告改編。

2005年8月31日，美國國際系統安全工程協會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個貢獻文檔。

2009年國際標準化組織（ISO）發布了ISO/IEC 27004：2009（信息技術一安全技術一信息安全管理測量）標準，為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強，不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進行科學的評價，進一步提升ISMS的執行力。該文研究的信息安全管理測評將為確定ISMS的實現目標，衡量ISMS執行的效力和效率提供一些思想、方法，其結果具有客觀的可比性，還可以作為信息安全風險管理、安全投入優化和安全實現變更的客觀依據，有助于降低安全風險，減少安全事件的概率和影響，改進安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價的綜合。信息安全管理測量的結果是信息安全績效評價的依據。信息安全管理測量比較具體，信息安全管理評價則通過具體來反映宏觀。 　　2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進行測評（即實體及其屬性），用什么指標體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數來計算測評結果（即測評函數），用什么模型來分析測評結果（即分析模型），用什么方式來使分析結果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業務目標，與相關利益者的利益訴求密切相關。指示器的生成和分析模型的選擇是以信息需求為導向的。

決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出，或作為統計控制限度或統計信心限度計算出來。

可測評概念是實體屬性與信息需求之間的抽象關系，體現將可測評屬性關聯到信息需求以及如何關聯的思想�？蓽y評概念的例子有生產力、質量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象，例如，過程、產品、系統、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項（信息安全管理測評要素）。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性（信息安全管理測評指標）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作，可以有多種測評方法�；�礎測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據屬性之間的關系來定義，他捕獲多個屬性或多個實體的相同屬性的信息，其功能依賴于基礎測評的，是兩個或更多基礎測評值得函數。

測評尺度是一組連續或離散的數字量值（如小數/百分比/自然數等）或離散的可數量值（如高/中/低/等）。測評尺度是規范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。

測評尺度根據尺度上量值之間關系的性質分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準，以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。

測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析模型的選擇。

測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執行頻率。測評計劃應按規定的頻度定期地或在必要的時候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執行的必要時候包括ISMS初始規劃和實施以及ISMS本身或運行環境發生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關聯，對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準，其從信息安全方針、信息安全組織、法律法規符合性等11個方面，提出了133個控制措施供使用者在信息安全管理過程中選擇適當的控制措施來加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中，通常以控制措施的實施情況作為指標，建立預選指標集，通過對預選指標集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結合產生一個不同的基礎測評。測評方法可能采用多種方式實現。測評規程描述給定機構背景下測評方法的特定實現。 　　測評方法根據量化屬性的操作性質分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數字規則（如計數）的量化。這些規則可能通過人或自動手段來實現。

測評方法的可能例子有：調查觀察、問卷、知識評估、視察、再執行、系統咨詢、測試（相關技術有設計測試和操作有效性測試等）、統計（相關技術有描述統計、假設檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統計過程控制（SPC， statistical Process control） 圖和時序分析等）。

4 結束語

當前，信息安全領域的測評研究多側重于對技術產品、系統性能等方面的測評，其中信息安全風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息安全狀況；信息安全審計則只是對信息安全相關行為和活動提供相關證據；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息安全管理的有效性進行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執行情況，為管理者決策提供依據，也能為組織信息安全管理過程的持續改進提供足夠的幫助，達到更好地管理信息安全的最終目的。

參考文獻：

[1] 閆世杰，閔樂泉，趙戰生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網絡安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31

[6] ISSEA （International System Security Engineering ASSociation ） Metrics Contribution Background ， 2005-08-31

[7] 李堯.論ISMS中的有效性測量——基于ISO/IEC27004：2009的ISMS有效性測量淺析[J].電子產品可靠性與環境試驗， 2010，28（3）：53-58.

【信息安全管理測評研究】相關文章：

建筑企業安全管理信息化研究04-26

企業信息化水平測評方法研究04-27

信息傳遞與管理激勵研究04-27

安全環保綜合信息管理系統的研究與應用04-27

注意能力測評方法的初步研究05-02

基于PDM的工藝信息管理的研究04-27

安全與質量的協同管理研究04-25

對衛星測控信息安全的系統研究05-02

我國與外國空管信息管理的對比研究04-28

高校教務管理信息化建設研究04-28