当前位置:文档之家 › 浅析信息安全管理体系有效性测量

浅析信息安全管理体系有效性测量

  • 格式:pdf
  • 大小:1.93 MB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

ISO27001信息安全管理国标新版解读精要

ISO27001信息安全管理国标新版解读精要

ISO27001:2013 新版解读精要1.综述ISO/IEC 27001(信息安全管理体系国际标准)是全球范围内发展最为快速的管理体系标准之一,2005 年发布迄今在全国100 多个国家中已签发17,500 多张证书,证书数量保持每年两位数增长。

信息安全最佳实践标准ISO/IEC 27002 为该ISO27001 的使用提供了必要的支持。

这两个标准均通过国际标准化组织(该组织的成员包括47 个国家标准机构)达成共识的方式而制定。

信息安全管理体系国际标准新版BS ISO/IEC 27001:2013 与BS ISO/IEC 27002:2013 在2013 年10 月已正式发布。

相关的几个标准,包括27003,27004,27005 亦正在修订中。

ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与其他管理体系的整合。

标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间。

值得信息安全从业人员去学习、实践。

2.标准新版与旧版的差异2.1整体变化注:图1 ISO 27001:2005 有11 个域、133 项控制措施,新版已调整为14 个域、114 项控制措施。

2.2正文的变化a)编写架构新版编写终于采用了标准化的ISO Annex SL通用架构(同ISO22301),采用此架构的好处在于可将各标准的要求,以统一的架构进行描述。

Annex SL架构考虑了管理体系间的兼容性,有利于不同管理体系间进行接轨、整合。

b)PDCA 与持续改进PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。

但从标准编写的目录结构上看,新版调整为 Planning-Support-Operation-Performance evaluation-Improvement,架构上其实是更趋 PDCA 了。

浅析我国网络信息安全存在的问题及对策

浅析我国网络信息安全存在的问题及对策

浅析我国网络信息安全存在的问题及对策1. 引言1.1 我国网络信息安全现状我国网络信息安全现状:随着互联网的快速发展,我国网络信息安全面临着一系列严峻挑战和问题。

网络攻击日益频繁,黑客利用漏洞进行网络攻击事件屡见不鲜,给我国网络安全造成了严重威胁。

个人信息泄露风险增加,随着电子商务、移动支付等应用的普及,用户的个人信息被泄露的风险也在增加。

我国网络安全技术发展滞后,网络安全技术的研究和应用水平落后于国际先进水平,导致网络安全防护能力不足。

网络安全教育不足,大多数人缺乏网络安全意识和知识,容易成为网络安全漏洞的破坏对象。

网络监管不到位,监管机构和措施存在漏洞,无法有效监管网络空间,造成网络安全隐患。

这些问题的存在严重威胁着我国网络信息安全,需要采取有效对策加以解决。

1.2 网络安全问题的严重性网络安全问题的严重性体现在多个方面。

随着网络攻击技术的不断发展,网络攻击日益频繁,各种网络病毒、木马、勒索软件等威胁不断涌现,给网络信息安全带来了严重的挑战。

个人信息泄露的风险不断增加,随着个人信息在网络上的广泛应用,一旦个人信息被泄露,可能会导致严重的经济损失和个人隐私泄露问题。

我国网络安全技术发展滞后,网络安全教育不足,网络监管不到位等问题也造成了我国网络信息安全形势的严峻性。

要解决我国网络信息安全存在的问题,必须加强网络安全意识培养,推动网络安全技术创新,强化网络监管措施,才能有效应对当前网络安全形势的严峻挑战。

2. 正文2.1 网络攻击日益频繁随着我国互联网的普及和网络技术的发展,网络攻击日益频繁成为我国网络信息安全面临的严重问题之一。

网络攻击者利用各种方式和手段对网络系统、数据和个人信息进行侵入和破坏,给网络安全造成了巨大的威胁。

网络攻击日益频繁主要表现在黑客攻击、病毒传播、网络钓鱼等多种形式。

黑客攻击常常利用漏洞对系统进行攻击,病毒传播会造成大量数据丢失和系统瘫痪,网络钓鱼则是通过虚假网站获取用户信息进行欺诈。

ISO27001监视和测量管理程序

ISO27001监视和测量管理程序

文件制修订记录1、目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析,为策划、实施、持续改进管理体系提供依据。

2、适用范围本程序适用于公司控制措施衡量、法律法规符合性验证、安全目标、方针贯彻。

3、术语和定义引用ISO/IEC27001:2022标准及本公司信息安全手册中的术语和定义。

4、职责4.1管理运营部4.1.1负责信息安全控制措施有效性、安全方针和安全目标实现程度测量。

4.1.2负责识别与公司有关的法律法规,并检验是否满足。

4.2管理者代表4.2.1负责掌握信息安全管理体系的总体运行情况,并向最高管理者汇报,对最高管理者负责。

4.2.2收集、评审信息安全管理体系的有效性、充分性、适宜性的改进建议;4.3管理运营部4.3.1负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规,发布《信息安全法律法规清单》,对本程序的实施情况进行组织、监督和检查。

体系管理部负责法律法规的更新以及适用性的确认,并传达给各部门。

4.4采购保障部4.4.1负责每半年对各职能市场销售部门进行监视和测量,对各职能市场销售部门的监视和测量执行情况进行监督、检查和指导,为纠正和预防提供信息。

4.4.2负责收集的顾客信息安全满意程度信息,并进行汇总、分析和传递。

5、工作程序5.1法律符合性测量5.1.1法律识别由管理运营部负责每半年收集、更新与公司运营有关的信息安全法律法规,编制《信息安全法律法规清单》,解读法规要求,在制定公司信息安全规章制度时作为遵循条件之一,必要时对有关人员进行法律法规的理解培训。

有下列情况之一的,须进行相关的法律合规性评价活动:1)原有的法律法规发生变化或者有新的相关法律法规出台时;2)外部环境标准发生变化或者环境体系进行换版时;3)公司内部或者周边工作环境发生变化时;4)有新的设备或者设施投入使用前;5)一般情况下每年末进行相关的法律合规性评价工作。

各部门根据信息系统日常运行及检测记录,对控制效果、过程的符合性进行相应评价。

ISO27001文件-ISMS有效性测量方法指南

ISO27001文件-ISMS有效性测量方法指南

ISMS有效性测量方法指南(版本号:V1.0)ISMS有效性测量管理规定更改控制页目录1目的 (1)2范围 (1)3内容 (1)3.1测量数据的收集 (1)3.2体系有效性测量 (2)3.3测量结果的分析与总结 (2)4相关文件 (3)5相关记录 (3)6附录: (4)6.1附录1:《ISMS控制目标和检查内容列表》 (4)6.2附录2:《信息安全目标测量信息一览表》 (4)1目的为信息安全管理体系的测量和分析工作提供指导。

2范围适用于公司信息安全管理体系有效性测量和分析活动。

3内容3.1测量数据的收集通常采用以下几种方法收集用于测量的基础数据:日常检查、审计监控系统的回顾、信息安全事件的统计等。

1)日常检查内容要求:信息安全管理体系标准要求的11项控制目标和133项控制措施;公司制定的信息安全管理体系文件的各项管理规定。

日常检查的内容参考附录1《ISMS控制目标和检查内容列表》,每次检查的具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信息安全隐患程度决定。

具体检查情况应填写《日常检查记录表》。

频度要求:每月至少进行1次抽样日常检查。

2)审计监控系统回顾内容要求:系统管理员对各种日志系统、审计系统、监控系统等做抽样检查或定期回顾,要特别关注各种告警信息和错误日志等,以期发现违反和潜在违反信息安全策略的行为与事件。

审计监控系统时应填写《错误日志审核记录表》。

频度要求:每季度每个信息系统至少检查一次。

3)信息安全事件统计内容要求:接受来自公司内、外等各种渠道的信息安全事件报告,由信息安全经理负责根据实际情况填写《信息安全事件报告与处理单》,定期对各种信息安全事故进行分类统计。

频度要求:每季度进行一次。

4)信息安全意识活动内容要求:信息安全意识活动主要有:信息安全培训、信息安全调查问卷、信息安全考试等。

正式员工应积极参加公司组织的各种信息安全意识活动。

新员工在试用期内必须接受信息安全的相关文件培训。

ISOIEC27004-2009信息安全测量中文版

ISOIEC27004-2009信息安全测量中文版

信息技术—安全技术—信息安全管理—测量27004 N6614 (FCD)标准草案目录0 介绍 (4)0.1 概述 (4)0.2 管理层概述 (4)1 范围 (5)2 规范性引用 (5)3 术语和定义 (5)4 本标准的结构 (9)5 信息安全测量概述 (9)5.1 信息安全目标 (9)5.2 信息安全测量项目 (10)5.3 信息安全测量模型 (12)5.3.1 基本测度和测量方法 (13)5.3.2 导出测度和测量函数 (13)5.3.3 指标和分析模型 (14)5.3.4 测量结果和决策准则 (15)6. 管理职责 (15)6.1 概述 (15)6.2 资源管理 (16)6.3 测量培训,意识和能力 (16)7. 测度和测量开发 (16)7.1 概述 (16)7.2 测量范围识别 (16)7.3 信息需要识别 (17)7.4 对象识别 (18)7.5 测量开发和选择 (18)7.5.1 测量方法 (18)7.5.2 测量函数 (19)7.5.3 利益相关方 (19)7.5.4 属性选择和评审 (19)7.5.5 分析模型 (20)7.5.6 指标和报告格式 (20)7.5.7 决策准则 (20)7.6 测度证实 (21)7.7 数据收集、分析和报告 (21)7.8 记录 (22)8. 测量运行 (22)8.1 概述 (22)8.2 规程整合 (22)8.3 数据收集和处理 (23)9. 测量分析和报告 (23)9.1 概述 (23)9.2 分析数据和产生测量结果 (23)9.3 沟通结果 (24)10. 测量项目评价和改进 (25)10.1 概述 (25)10.2 识别测量项目的评价准则 (25)10.3 监控、评审与评价测量项目 (26)10.4 实施改进 (26)附录A (资料性附录)信息安全测量模板 (27)附录B (资料性附录)测度范例 (29)参考文献 (31)0 介绍0.1 概述本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。

《信息安全管理评审规定》-等级保护安全管理制度

《信息安全管理评审规定》-等级保护安全管理制度

XXX系统管理平台信息安全管理制度- 信息安全管理评审规定目录第一章总则 (3)第二章人员和职责 (3)第三章内容 (4)第四章检查表 (6)第五章相关文件 (7)第六章相关记录 (7)第七章附则 (7)附件一管理评审执行情况检查表 (7)第一章总则第一条目的本制度旨在对XXX系统平台信息安全体系的适宜性、充分性、有效性进行评审,使XXX 系统平台信息安全管理体系不断地完善并持续有效的运行,不断满足XXX系统平台信息安全方针要求,实现XXX信息安全体系目标。

第二条范围本制度适用于XXX管理部最高管理者对信息安全体系适宜性、充分性和有效性的审核和评价活动。

第三条定义ISMS:Information Security Management System ,信息安全管理体系第二章人员和职责第四条XXX管理部(一)批准发布本制度;(二)领导ISMS管理评审;第五条信息安全管理组(一)组织编写并控制本制度;(二)引导相关部门及人员落实本制度之要求。

第六条信息安全审核组负责对实施效果进行验证。

第七条XXX管理部全体员工遵守本制度。

第三章内容第八条评审频次通常情况下管理评审每年一次。

如遇重大信息安全问题、XXX系统平台组织架构变更、XXX业务发生重大调整,信息技术的重大变革、威胁源显著变化等情况则适当调整管理评审的次数。

第九条评审内容管理评审应包括或涉及以下内容:(一)体系建立前或体系上次修订前的综合情况;(二)体系运行(修订)后的变化,包括体系运行效果与不足;(三)信息安全方针、目标是否适应外部市场及内部环境的变化,实现情况如何,是否需要调整和修订;(四)信息安全体系文件是否满足实际需要,是否需要修订;(五)组织结构、资源(人员、技术、设备等)是否满足信息安全体系有效运行的需要,是否需要调整和增加资源投入;(六)各项活动是否受控,是否需要改进。

(七)必要时,可以聘请外部信息安全专家参与。

参看信息安全聘请表及记录第十条评审输入信息安全管理体系管理评审输入包括但不限于:(一)ISMS审核和评审的结果;(二)相关方的反馈;(三)组织用于改进ISMS业绩和有效性的技术、产品或程序;(四)纠正和预防措施的实施情况;(五)上次风险评估未充分指出的脆弱性或威胁;(六)有效性测量的结果;(七)上次管理评审所采取措施的跟踪验证;(八)任何可能影响ISMS的变更;(九)改进的建议。

2024年8月CCAA注册审核员复习题—ISMS信息安全管理体系知识含解析

2024年8月CCAA注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质2、最高管理者应()。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审3、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年4、对于可能超越系统和应用控制的实用程序,以下做法正确的是()A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单5、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270056、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务7、()是风险管理的重要一环。

A、管理手册B、适用性声明C、风险处置计划D、风险管理程序8、《信息安全管理体系认证机构要求》中規定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対9、()是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙10、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()A、认证B、认可C、审核D、评审11、为了达到组织灾难恢复的要求,备份时间间隔不能超过()。

信息安全管理体系管理评审报告

信息安全管理体系管理评审报告评审日期:2009 年 4 月 1 日评审目的:分析2009 年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。

评审内容:①安全方针和目标是否正在实现,过去 4 个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求;②管理人员和监督人员过去 4 个月中管理与监督的状况,是否达到预期要求;③管理体系运行是否受控、是否有效(近期内审结果);④纠正措施和预防措施执行情况如何;⑤听取资源充分性报告;⑥风险评估中提出的薄弱点或威胁;⑦客户反馈意见的汇总分析;⑧员工培训教育情况分析报告;⑨客户投诉及其处理情况汇总;⑩改进的建议;⑪其他日常管理议题。

评审组成员:评审意见和结论:1、本公司按照ISO27001:2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动;从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。

2、《ISMS 手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。

3、《ISMS 手册》中所列的控制项(133 项参数或指标)是真实的。

与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。

上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动,内审共发现9 个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。

5、采用附录A 中的11 类控制方式,其中其中删减了8 处,其余125 个控制点得到了满意的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。

信息安全目标及有效性测量程序

2)关键目标指标是控制目标的一种表达,明确要取得什么目标,并描绘控制的结果,进行事后评判,即时体现控制的完成即成功与否。
3)信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。
1.6.
1)通过监测某控制的执行情况,告诉管理者该控制是否满足标准、信息安全管理体系和管理者的要求。关键性能指标是控制的性能指标,表现为控制的实际表现。通过测定,评价控制执行的好坏,通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定控制的性能,关键性能指标是控制执行程度的测定,预期将来成败的可能性,是先导性目标,面向控制过程,关注对于控制至关重要的资源。关键性能指标指出控制要完成到怎样的程度。
1.1.
保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式,确保数据不泄密,机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%;
1.2.
信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%;
1.3.
信息安全目标及有效性测量程序
1.
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的测量方法,以便于目标达成情况的考核。
适用于信息安全目标的制定、检查、测量。
2.
1)《信息安全管理手册》
3.
1)信息安全领导小组:批准公司的信息安全目标;
2)体系负责人:负责制定信息安全目标;
保证业务系统正常运行,避免各种非故意的错误与损坏,业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%;
1.4.
1)风险管理度(R)=(C*60%+I*10%+A*30%)

信息安全管理体系控制措施有效性测量概述的研究报告

信息安全管理体系控制措施有效性测量概述的研究报告信息安全管理体系是一个由各种控制措施组成的体系,它的目的是保护机构中的敏感数据和信息,同时确保其完整性和可靠性。

然而,仅仅实施这些控制措施并不能保证其有效性,因此需要对这些措施的有效性进行衡量和评估。

本文旨在概述信息安全管理体系控制措施有效性测量的相关概念、方法和挑战。

什么是信息安全管理体系控制措施有效性测量?信息安全管理体系控制措施有效性测量是指对已经在信息安全管理体系中实施了的控制措施进行评估和衡量,以确定这些控制措施是否能够有效地保护信息资产和数据,确保其机密性、完整性和可用性。

有效的控制措施不仅能够减少信息安全事件的发生,而且还能增强机构的信誉,提高其业务连续性和稳定性。

信息安全管理体系控制措施有效性测量的方法为了达到信息安全管理体系控制措施有效性的可信测量,应该采用科学的方法和多种测量手段。

测量的方法主要包括:1. 问卷调查:问卷调查可以帮助收集用户的反馈和建议,了解控制措施的可用性和用户满意度。

2. 安全审计:安全审计是一种基于证据的方法,通过测试和验证来确定控制措施是否被有效实施。

这包括服务器、网络、应用程序等所有可能的安全漏洞。

3. 模拟演练:模拟演练一般由安全部门组织,演练中各岗位人员必须按照流程要求执行行动方案。

通过模拟演练,可以强化人员对应急情况的反应能力,发现控制措施的潜在问题和不足之处。

信息安全管理体系控制措施有效性测量的挑战信息安全管理体系控制措施有效性测量的挑战主要包括以下几点:1. 权衡度:在权衡数据安全和用户体验之间,往往难以达到平衡。

安全措施过于严格可能会影响用户的工作效率和业务运转,而过于松散的安全措施又会提高不法分子的攻击概率。

2. 测量标准:在测量标准方面,难以找到统一的标准体系。

不同系统、不同行业、不同组织往往依据自身的业务特点和情况设定不同的标准,甚至出现一些标准的冲突。

3. 有效性成本:确保信息安全需要投入大量的人力、物力和财力,随着保护层次的提高,成本也随之增加。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

文|董亦兵一、ISO/IEC 27004:2016介绍ISO/IEC 27004:2016由ISO/IEC于2016年12月15日发布了第二版,标准中文名称为“信息技术-安全技术-信息安全管理-监测、测量、分析和评价”,旨在协助组织评估ISMS的有效性,以满足ISO/IEC:2013,9.1:监视、测量、分析和评估要求。

ISO/IEC 27004:2016通过一系列的指标用来评价组织ISMS的有效性,并通过系统性的测量方法支撑评估过程。

下面简要介绍测量要素间的关系和ISO/IEC 27004:2016的测量指标体系。

(一) 测量要素间的关系测量要素间的关系图(参考ISO/IEC 27004:2016)根据ISO/IEC 27004:2016标准,ISMS有效性测量工作分为监控、测量、分析和评价四个环节。

测量要素间的关系如下:第一,应明确测量需求。

测量需求应反映信息安全管理关键流程、关键活动、关键控制的有效性,能折射管理成熟度。

第二,在明确测量需求基础上,确定测量对象(实体),并选取测量对象适当的属性进行监控。

测量对象属性应与测量目的保持一致,以满足测量需求。

第三,采取适当的测量方法实施测量,包括基础测量和派生测量。

定义适当的测度,通过对属性的度量,形成基础测量结果。

围绕测量目的和测量需求,设计恰当的测量函数,将多个基础测量结果进行结合,形成派生测量结果。

第四,设计测量指标。

测量指标能直观反映测量需求,通常通过建立分析模型,将测量指标划分为若干区间,不同区间能反映测量对象在控制有效性方面的强弱。

第五,对测量对象进行评价。

对测量指标进行解释,使得测量结果能够恰当反馈测量需求。

(二) ISO/IEC 27004:2016测量指标体系I S O/I E C 27004:2016附录B提供了一个标准的指标体系实例,用于测量组织I S M S是否符合I S O/I E C 27001:2013。

ISO/IEC 27004:2016共包含35个指标(从B.2到B.36),每个指标与ISO/IEC 27001:2013的控制要求进行了映射,如下表所示:与ISMS的关系,映射ISO/IEC 27001:2013的控制编号度量指标名称1 5.1,7.1 B.2 资源分配27.5.2,A.5.1.2 B.3 策略评审3 5.1,9.3 B.4 管理承诺48.2,8.3 B.5 风险敞口59.2,A.18.2.1 B.6 审计程序610 B.7 改善行动710 B.8 安全事故成本810,A.16.1.6 B.9 从信息安全事故中汲取教训910.1 B.10 纠正措施的实施10 A.7.2 B.11 信息安全管理培训与意识教育11 A.7.2.2 B.12 信息安全培训12 A.7.2.1,A.7.2.2 B.13 信息安全意识合规性13 A.7.2.2 B.14 信息安全管理宣传活动的有效性14 A.7.2.2,A.9.3.1,A.16.1 B.15 社会工程防范15 A.9.3.1 B.16 密码质量 – 人工控制16 A.9.3.1 B.17 密码质量 – 自动控制17 A.9.2.5 B.18 审查用户访问权限18 A.11.1.2 B.19 物理入口控制系统评估19 A.11.1.2 B.20 物理入口控制有效性20 A.11.1.4 B.21 定期维护管理21 A.12.1.2 B.22 变更管理22 A.12.2.1 B.23 恶意代码防护23 A.12.2.1 B.24 恶意软件防范24 A.12.2.1,A.17.2.1 B.25 可用性管理信息化研究25 A.12.2.1,A.13.1.3 B.26 防火墙规范26 A.12.4.1 B.27 日志文件审查27 A.12.6.1 B.28 设备配置28 A.12.6.1,A.18.2.3 B.29 渗透测试与脆弱性评估29 A.12.6.1 B.30 脆弱性场景30 A.15.1.2 B.31 第三方协议中的安全31 A.16 B.32 安全事故管理有效性32 A.16.1 B.33 安全事故态势33 A.16.1.3 B.34 安全事件报告34 A.18.2.1 B.35 信息安全管理评审程序35 A.18.2.3 B.36 漏洞覆盖度然而ISO/IEC 27004:2016的测量指标主要以ISO/ IEC 27001:2013为基础,组织在建设ISMS过程中,在参考ISO/IEC 27001:2013的同时,需要考虑国内相关法律法规、监管要求等因素,同时考虑多体系融合,ISMS比起单一ISO/IEC27001:2013更为复杂,测量指标设计也应充分考虑对组织的适用性。

二、ISMS有效性测量设计(一) 有效性测量的前提建立完善的ISMS是信息安全管理体系测量的首要条件之一。

ISMS不仅为信息安全管理工作提供制度依据,也同时为ISMS有效性测量框架设计的基础。

从有效性测量的角度出发,完善的信息安全管理体系应包括以下特征:合规性:信息安全管理体系应满足外部法律法规、监管要求、合同协议要求及主管部门或投资方、内部控制等方面的要求。

适度安全:应建立统一的信息安全策略,确立信息安全顶层方针、策略和控制目标,在确保客体安全可控基础上,平衡安全与效率的矛盾。

明确客体控制要求:识别重要客体,如数据中心、重要信息、软硬件等,对客体进行分级分类,明确不同类别、不同级别客体的控制要求。

明确主体责任:在梳理IT资产的基础上,明确不同IT 资产的信息安全控制责任,同时应明确高级管理层、各部门、重要岗位的信息安全责任,授权合理、责任明确。

采用技术控制手段,提高信息安全控制效率和效果。

明确重要活动流程:如信息安全事件处理流程、信息安全资产管理流程等。

建立完善的应急预案,定期开展演练。

建立评估与评价体系,确保信息安全体系持续改进。

(二) 有效性测量的目的和意义明确测量的目的和意义是设计测量模型的前提条件之一,测量的指标应围绕测量目的开展。

信息安全有效性测量应与信息安全检查、信息安全绩效评价目的不同,虽然三者有一定联系,甚至互为输入,但测量模型应反映测量的目的。

信息安全检查的目的:主要利用科学的抽样、检查、技术检测等技术,评估信息安全控制措施的有效性。

检查的输入项通常是信息安全管理体系要求,检查对象为主体的履职情况、客体的控制效果,识别控制缺陷和薄弱环节。

信息安全管理体系有效性测量的目的:测量的客体为信息安全管理体系,主要通过对一系列的指标和模型的测量,检验信息安全管理体系是否有效,通常包括本文前面所描述的合规性、适度安全等要素,信息安全有效性测量是信息安全管理体系完善的主要依据之一。

信息安全绩效评价的目的:主要评价管理主体的履职绩效,评价对象为信息安全管理主体履行信息安全管理活动的态度、履职情况、履职效果、目标(KRI,即关键风险指标)完成情况。

(三) 有效性测量的需求信息安全管理有效性测量,通常包含过程指标和结果指标两类。

过程指标反映信息安全管理过程、管理环节、管理活动的有效性指标,包括过程的效率效果性、经济性、合理性、合规性等。

结果指标反映信息安全管理结果的有效性指标,包括安全事件发生是否超过了容忍限度、核心系统可用性指标、人员伤亡指标、数据泄密指标等。

(四) 有效性测量模型的设计有效性测量模型1、测量需求首先应明确测量需求,包括确定ISMS控制目标,并基于控制目标设计测量指标和确定测量对象。

测量指标应能反映控制目标,选取关键控制活动和控制环节。

2、测量方法测度,确定测量方法(含基础测量和派生测量),结合工作实际,确定测量频度。

3、测量基准第三,确定测量基准,可以划分为可以接受区域、预警区域和不可接受区域,用于对实际测量结果的参考。

4、测量结果最后,形成测量结果后,与测量基准进行比较,形成初步测量结果。

对测量结果进行复核和与责任方进行沟通,确定最终的测量结果。

三、有效性测量案例分析笔者结合组织信息安全控制目标,设计了一套基于控制目标的信息安全控制目标有效性测量指标体系。

如下表所示:控制目标ISO27001映射关系指标名称测量对象属性测度测量方法测量频次指标类别不可接受区域预警区域可接受区域目标1:保持信息安全方针的适宜性、充分性、有效性评审记录有效支持开展了评审活动A.5安全方针年度信息安全方针的评审过程指标信息安全方针定期开展方针评审活动是/否评审记录有效支持开展了评审活动年度过程指标否-是不符合项整改率0~100%未整改或整改未完成/评审发现总不符合项年度结果指标小于80%80%—94%95%以上目标2:将信息安全融入项目管理中A.6组织的安全项目管理中的信息安全项目项目安全需求评审率0~100%需求评审项目/抽查项目样本数半年过程指标小于80%80%—94%95%以上项目安全需求实现和验收实施了质量控制比率0~100%需求实现及验收文档完整的项目/抽查项目样本数半年过程指标小于80%80%—94%95%以上项目实施过程中出现安全事件或事态的次数自然数安全事件或事态发生的次数半年结果指标内部脆弱性引起的次数大于3或安全事件次数应超过1次(含)内部脆弱性引起的次数为1-2次外部威胁引起的不限定次数;内部脆弱性引起的次数应小于3,安全事件次数应不超过1项目经理项目经理接受了信息安全相关的培训的比率0~100%接受培训的项目经理人数/抽样项目经理梳理年度过程指标小于80%80%—94%95%以上信息化研究目标3:加大信息安全培训和教育力度,增强员工的信息安全意识A.7人力资源安全信息安全意识、教育和培训1.培训和教育新员工(含岗位变动)培训和教育的覆盖情况0~100%接受培训教育的人数/抽样总人数年度过程指标小于80%80%—94%95%以上安全意识宣传覆盖率0~100%宣传活动完成后,随机抽样员工,了解安全意识宣传人数/抽样总人数年度结果指标小于50%50%—69%70%以上目标4:通过对职责终止人员的访问权限的处理,保证系统与数据的安全性A.7人力资源安全撤销访问权限1.离职人员账号抽样检查修改密码0~100%抽样仍使用账号的密码修改率半年过程指标小于95%95%—99%100%抽样检查账号冻结0~100%抽样不使用账号冻结率半年过程指标小于95%95%—99%100%抽样检查权限撤销0~100%抽样保留账号权限撤销率半年过程指标小于95%95%—99%100%目标5:重视信息资产识别工作,明确定义信息安全保护对象A.8资产管理资产管理 1.资产1.抽样检查资产识别符合率0~100%抽样符合资产标识要求数量/抽样总样本数量年度过程指标小于80%80%—94%95%以上目标6:加强用户权限和口令管理,防止非授权访问:A.9访问控制口令及用户权限管理口令抽样检查口令策略设置符合率0~100%抽样设备口令设置合格数量/抽样设备总样本数量季度过程指标小于80%80%—94%95%以上一般用户账号抽样检查访问权限符合率0~100%抽查权限列表与实际权限设置一致账号数量/总体抽样数量季度过程指标小于80%80%—94%95%以上特权账号访问权限复查次数记录自然数当年复查次数季度过程指标0次-1次以上目标7:满足国产密钥合规要求A.10密码学密钥国产化改造率密钥国产化0~100%国产化密钥使用数量/总体密钥使用数量年度过程指标80%以下80-89%90%以上目标8:提高物理安全,保障资产安全性,防止敏感信息泄漏。