9信息安全管理测量程序.doc

信息安全管理测量程序 信息安全管理测量程序 1 目的 为了有组织地开展信息安全体系的监测、测量工作，确保监测和测量的数据能真实地反映信息安全管理体系运行情况，测量ISMS的有效性，特制订本程序。 2 范围 本程序适用于公司技术中心重要信息因素和预防控制情况的检查，相关法律、法规符合性的监控及评价，信息安全活动符合性的日常检查和监督。 3 职责 各部门负责本部门与信息安全相关的各项测量工作。 4 测量方法 4.1测量角度： 1）业务角度：信息安全的管理需要衡量投入产出比，检阅信息安全的有效性，是衡量ISMS绩效的最佳选择。从对ISMS所实施控制措施和控制措施组的有效性度量当中获得数据，评估出当前投资的效果，进而可以决定未来投资的方向，这包括是否继续在信息安全方面投入，投入到信息安全的具体方面。 2）持续改进角度：通过建立一套测量体系，进行一定频度的测量之后，就能够获得一定粒度的数据，从而绘制出改进过程的全景路线图，可以让管理更加透明，可以让决策更加有依据。 3）标准符合性角度：在ISO27001:2005中明确要求组织定义测量体系，并实施之获得数据，衡量所实施ISMS的有效性。 4.2  测量体系的PDCA  作为一种系统，测量体系也需要PDCA的环节达成其目标。这个PDCA可以与ISMS的PDCA相辅相成。各阶段主要活动如下： Plan 阶段：策划ISMS的同时，搜集来自关键利害相关人对于测量本身的输入信息，不能满足关键利害相关人的愿望，就不能让效益最大化。此阶段同时需要识别自身业务的要求，举例而言，高层管理人员可能希望了解如下信息：本组织与行业标准、最佳实践、行业标杆的比较；组织自身在发展历程中的纵向比较、与 竞争对手的比较、本组织不同分布之间的比较。 Do阶段：此时生成Metrics体系，包括针对ISMS的测量方法和针对控制措施与控制措施组的测量方法。需要结合策划阶段的输入信息，以及风险评估的结果，规划出： 测量什么？ 以什么样的方法和渠道收集数据？ 以什么样的频度来测量？ 以什么样的方法指示结果？ 在生成了测量体系之后，就可以按照体系进行测量的工作，这些测量的工作，在ISMS体系中已经被识别为C的阶段，而在测量体系中，则为C阶段提供数据。 Check阶段：此时需要做的事情，一则评估所测量的结果，二则分析所测量的结果，对于测量体系对ISMS的贡献进行评价，从中找到需要改善改进的区域，例如是否需要调整测量的方面，是否需要测量调整频度等等。 Act 阶段：针对于上阶段的分析结果，和所识别的纠正措施，对整个测量体系进行改进，让其为ISMS更好服务，为业务更好服务。 4.3测量方法的分类 一般意义上，可以对测量方法进行如下分类，需要注意的是，分类不是目的，只是一个手段，是为了更好地策划和实施测量体系。 管理控制措施：如方针策略、业务目标、安全意识等方面； 业务流程：如风险评估和处理、选择控制措施等； 运营措施：如操作程序、备份、防范恶意代码、存储介质等方面； 技术控制措施：如防火墙、入侵检测、内容过滤、补丁管理等； 审核、回顾和测试：如内审、外审、技术符合性检查等。 4.4信息安全分类测量数据： 见管理评审测量表中的数据 5.相关文件和记录 《管理评审测量表》 第 2 页 共 4 页