? 信息安全度量咨詢
1. 信息安全度量的定義 1.1什么是度量在物理和數(shù)學(xué)領(lǐng)域��,度量的定義為“用拓?fù)淇臻g的二值函數(shù)�����,給出空間中任意兩點(diǎn)之間距離的值���,或者是用于分析的距離的近似值����?����!蔽覀兛梢哉J(rèn)為���,“幾乎任何量化問題空間并得出值的情況�,都可能看作是度量”�。傳統(tǒng)的企業(yè)管理領(lǐng)域有一條準(zhǔn)則——不能測量的東西就不能管理;這條準(zhǔn)則也同樣適用于信息安全管理領(lǐng)域�。 1.2什么是信息安全度量
行業(yè)的實(shí)踐經(jīng)驗(yàn)表明,企業(yè)在完成了網(wǎng)絡(luò)安全架構(gòu)和安全管理建設(shè)的基礎(chǔ)建設(shè)之后�����,常常會(huì)遇上安全管理落地難���、檢查難的問題�����。安全內(nèi)控度量則是針對此問題的解決方案�。信息安全內(nèi)控度量可以理解為在企業(yè)內(nèi)部信息安全管理中通過采用系統(tǒng)的、量化的��、有效的手段對信息安全管理的現(xiàn)狀進(jìn)行測量和評價(jià)��,從而發(fā)現(xiàn)潛在的安全控制弱點(diǎn)��,切實(shí)推動(dòng)安全管理規(guī)范的落地�,持續(xù)提升組織的信息安全管理水平�����。 2. 信息安全度量體系建設(shè)意義 2.1 度量的優(yōu)勢 以往對信息安全管理情況的評價(jià)大多采用定性評價(jià)��,定性評價(jià)的優(yōu)點(diǎn)在于能夠?qū)o法量化的制度建設(shè)�、流程控制、日常操作等方面進(jìn)行一個(gè)較為客觀的評價(jià)����,但定性評價(jià)的缺點(diǎn)也很明顯,由于無法對評價(jià)結(jié)果進(jìn)行量化�,只能人為的對評價(jià)結(jié)果進(jìn)行大致分級,這就有可能因?yàn)樵u價(jià)者自身...
