信息安全度量咨詢(xún)
來(lái)源: 發(fā)布日期:2015.02.09 點(diǎn)擊量:
1. 信息安全度量的定義
1.1什么是度量
在物理和數(shù)學(xué)領(lǐng)域�����,度量的定義為“用拓?fù)淇臻g的二值函數(shù)�����,給出空間中任意兩點(diǎn)之間距離的值��,或者是用于分析的距離的近似值�?��!蔽覀兛梢哉J(rèn)為�,“幾乎任何量化問(wèn)題空間并得出值的情況��,都可能看作是度量”���。傳統(tǒng)的企業(yè)管理領(lǐng)域有一條準(zhǔn)則——不能測(cè)量的東西就不能管理����;這條準(zhǔn)則也同樣適用于信息安全管理領(lǐng)域。
1.2什么是信息安全度量
行業(yè)的實(shí)踐經(jīng)驗(yàn)表明�,企業(yè)在完成了網(wǎng)絡(luò)安全架構(gòu)和安全管理建設(shè)的基礎(chǔ)建設(shè)之后,常常會(huì)遇上安全管理落地難���、檢查難的問(wèn)題��。安全內(nèi)控度量則是針對(duì)此問(wèn)題的解決方案�����。
信息安全內(nèi)控度量可以理解為在企業(yè)內(nèi)部信息安全管理中通過(guò)采用系統(tǒng)的���、量化的、有效的手段對(duì)信息安全管理的現(xiàn)狀進(jìn)行測(cè)量和評(píng)價(jià)�����,從而發(fā)現(xiàn)潛在的安全控制弱點(diǎn)�,切實(shí)推動(dòng)安全管理規(guī)范的落地��,持續(xù)提升組織的信息安全管理水平。
2. 信息安全度量體系建設(shè)意義
2.1 度量的優(yōu)勢(shì)
以往對(duì)信息安全管理情況的評(píng)價(jià)大多采用定性評(píng)價(jià)���,定性評(píng)價(jià)的優(yōu)點(diǎn)在于能夠?qū)o(wú)法量化的制度建設(shè)�、流程控制�����、日常操作等方面進(jìn)行一個(gè)較為客觀的評(píng)價(jià)�����,但定性評(píng)價(jià)的缺點(diǎn)也很明顯�,由于無(wú)法對(duì)評(píng)價(jià)結(jié)果進(jìn)行量化,只能人為的對(duì)評(píng)價(jià)結(jié)果進(jìn)行大致分級(jí)���,這就有可能因?yàn)樵u(píng)價(jià)者自身的不足影響評(píng)價(jià)的客觀性和準(zhǔn)確性�����。信息安全內(nèi)控度量正是要解決這種問(wèn)題�,通過(guò)大量可量化的�、具有代表性的指標(biāo)對(duì)信息安全管理情況進(jìn)行量化的分析和評(píng)價(jià)。
2.2 安全度量的必要性
2.3 度量和審計(jì)的差異與關(guān)聯(lián)
比較項(xiàng) 審計(jì) 度量
發(fā)起方 內(nèi)部/外部 內(nèi)部
關(guān)注重點(diǎn) 合規(guī)性 包括但不限于合規(guī)性
活動(dòng)持續(xù)時(shí)間 階段 周期/持續(xù)
評(píng)價(jià)方式 定性為主 定量為主
產(chǎn)出物 審計(jì)報(bào)告 安全管理績(jī)效
3. 實(shí)施方法論和依據(jù)
3.1 信息安全內(nèi)控度量體系理論支持
任何體系的構(gòu)建都需要相應(yīng)的標(biāo)準(zhǔn)及理論支持�,信息安全度量作為評(píng)價(jià)信息安全管理的重要手段之一也不例外�����,國(guó)際上已經(jīng)有了一些較為成熟的體系及標(biāo)準(zhǔn)為度量體系的建設(shè)提供支持�,Cobit和ISO27004就是最為典型的兩個(gè)��。作為IT治理框架����,Cobit提供了一個(gè)IT管理框架以及配套的支撐工具集,這些都是為了幫助管理者通過(guò)IT過(guò)程管理IT資源實(shí)現(xiàn)IT目標(biāo)滿(mǎn)足業(yè)務(wù)需求��。Cobit建立了一個(gè)包含7個(gè)業(yè)務(wù)需求��、20個(gè)業(yè)務(wù)目標(biāo)��、28個(gè)IT目標(biāo)�����、34個(gè)IT過(guò)程�、100多個(gè)控制管理目標(biāo)的IT管理框架,通過(guò)控制度�����、度量����、標(biāo)準(zhǔn)三個(gè)緯度來(lái)度量IT過(guò)程能力。ISO27004作為ISO27000系列中的一個(gè)重要組成部分�����,對(duì)信息安全度量目標(biāo)�、度量項(xiàng)、度量過(guò)程�、度量值乃至度量實(shí)施都給出了指引。
3.2 內(nèi)控度量的PDCA
PDCA就是業(yè)界公認(rèn)的信息安全管理方法論��,遵循計(jì)劃(Plan)���、實(shí)施(Do)�����、檢查(Check)�、改進(jìn)(Action)相結(jié)合的閉環(huán)機(jī)制�,可以有效的為各類(lèi)安全管理活動(dòng)提供支持。如下圖所示�����,采用PDCA的循環(huán)機(jī)制,通過(guò)度量體系設(shè)計(jì)���、度量實(shí)施����、度量結(jié)果分析���、輸出���、度量改進(jìn)這四大環(huán)節(jié),可以建立持續(xù)改進(jìn)的信息安全管理機(jī)制����。
3.3 安言的PROC方法論
作為信息安全咨詢(xún)提供者,安言咨詢(xún)?cè)谝訧SO27001認(rèn)證為代表的信息安全管理體系建設(shè)方面經(jīng)歷了長(zhǎng)期的實(shí)踐��,積累了豐富的經(jīng)驗(yàn)����。在幫助企業(yè)建立符合自身需求的信息安全內(nèi)控度量體系上,安言咨詢(xún)的方法論體現(xiàn)為PROC過(guò)程模型����,這個(gè)過(guò)程模型是對(duì)經(jīng)典的PDCA管理模式的具體實(shí)現(xiàn),更具有針對(duì)性和可實(shí)施性�����。
PROC(Preparation��,Realization�,Operation,Certification)模型如下圖所示���。
PROC模式將整個(gè)信息安全內(nèi)控度量體系建設(shè)項(xiàng)目劃分成四個(gè)大的階段����,每個(gè)階段又包含相應(yīng)的工作子項(xiàng)��,每項(xiàng)工作均具有前后關(guān)聯(lián)����,只要能夠按照規(guī)劃順利開(kāi)展各階段工作,最終就能建立起有效的信息安全內(nèi)控度量體系�,實(shí)現(xiàn)信息安全管理工作的客觀、量化�、有效評(píng)價(jià)����。各階段具體工作如下:
準(zhǔn)備階段(Preparation):在準(zhǔn)備階段�,項(xiàng)目小組要對(duì)信息安全內(nèi)控度量體系的實(shí)施做好預(yù)備工作,明確度量體系實(shí)施范圍���,提供相關(guān)資源��,建立總體的安全管理方針���,進(jìn)行現(xiàn)狀調(diào)研,了解并分析信息安全現(xiàn)狀����,明確風(fēng)險(xiǎn)問(wèn)題和由此帶來(lái)的具體需求。
實(shí)現(xiàn)階段(Realization):在實(shí)現(xiàn)階段���,項(xiàng)目小組要組織相關(guān)資源���,依據(jù)前期現(xiàn)狀調(diào)研和現(xiàn)狀分析結(jié)果開(kāi)展度量體系設(shè)計(jì)和實(shí)現(xiàn)工作,為好計(jì)劃���,同時(shí)編寫(xiě)��、測(cè)試�����、修訂并完善內(nèi)控度量體系運(yùn)行所需各類(lèi)文件��。
運(yùn)行階段(Operation):信息安全內(nèi)控度量體系建立起來(lái)之后�����,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和可操作性性����。在此階段���,應(yīng)該培訓(xùn)專(zhuān)門(mén)人員�����,建立起內(nèi)部度量機(jī)制�����,通過(guò)例行檢查�、專(zhuān)項(xiàng)檢查等各類(lèi)檢查活動(dòng),來(lái)檢查已建立的度量體系是否符合企業(yè)評(píng)估自身安全管理的要求�����。
驗(yàn)證階段(Certification):經(jīng)過(guò)一定時(shí)間運(yùn)行���,內(nèi)控度量體系達(dá)到一個(gè)穩(wěn)定的狀態(tài)��,各項(xiàng)文檔和記錄已經(jīng)建立完備�����,此時(shí)��,可以提請(qǐng)進(jìn)行項(xiàng)目驗(yàn)收����。
3.4 信息安全內(nèi)控度量體系設(shè)計(jì)依據(jù)
度量體系的設(shè)計(jì)需要參考企業(yè)內(nèi)部和外部管理要求���,行業(yè)標(biāo)準(zhǔn)����、法律法規(guī)、監(jiān)管機(jī)構(gòu)發(fā)文等都可以作為參考���,一般包含以下三類(lèi)文件:
內(nèi)部安全制度:企業(yè)內(nèi)部發(fā)布的各類(lèi)安全管理制度
國(guó)內(nèi)法律法規(guī)及監(jiān)管機(jī)構(gòu)要求:各類(lèi)國(guó)家標(biāo)準(zhǔn)(GB50174-2000��、等級(jí)保護(hù)等)��、《銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》等
國(guó)際標(biāo)準(zhǔn)���、行業(yè)最佳實(shí)踐:ISO27001、ISO27002���、ISO 27004、Cobit�����、ITIL等
- 上一篇:
暫無(wú)上一篇
- 下一篇:
暫無(wú)下一篇
相關(guān)客戶(hù)案例:
