ISOIEC27004-2009信息安全测量中文版

信息技术—安全技术—信息安全管理—测量 27004 N6614 (FCD)

标准草案

目录

0 介绍 ........................................... 4 0.1 概述 ......................................... 4 0.2 管理层概述 ......................................... 4 1 范围 .......................................... 5 2 规范性引用 ........................................ 5

3 术语和定义 ........................................ 5 4 本标准的结构 ....................................... 9 5 信息安全测量概述 ..................................... 9

5.1 信息安全目标 ..................................... 9 5.2 信息安全测量项目 ................................... 10 5.3 信息安全测量模型 ................................... 12 5.3.1 基本测度和测量方法 .................................. 13 5.3.2 导出测度和测量函数 .................................. 13 5.3.3 指标和分析模型 ................................... 14 5.3.4 测量结果和决策准则 .................................. 15 6. 管理职责 ...................................... 15 6.1 概述 ........................................ 15 6.2 资源管理 ...................................... 16

1 / 31

6.3 测量培训，意识和能力 .................................. 16 7. 测度和测量开发 ................................... 16 7.1 概述 ........................................ 16 7.2 测量范围识别 ..................................... 16 7.3 信息需要识别 ..................................... 17 7.4 对象识别 ...................................... 18 7.5 测量开发和选择 ..................................... 18 7.5.1 测量方法 ...................................... 18 7.5.2 测量函数 ...................................... 19 7.5.3 利益相关方 ..................................... 19 7.5.4 属性选择和评审 ................................... 19 7.5.5 分析模型 ...................................... 20 7.5.6 指标和报告格式 ................................... 20 7.5.7 决策准则 ...................................... 20 7.6 测度证实 ....................................... 21 7.7 数据收集、分析和报告 .................................. 21 7.8 记录 ........................................ 22 8. 测量运行 ....................................... 22 8.1 概述 ........................................ 22 8.2 规程整合 ....................................... 22 8.3 数据收集和处理 .................................... 23 9. 测量分析和报告 .................................... 23 9.1 概述 ........................................ 23 9.2 分析数据和产生测量结果 ................................. 23 9.3

沟通结果 ....................................... 24

10. 测量项目评价和改进 ................................... 25 10.1 概述 ....................................... 25

10.2 识别测量项目的评价准则 ................................ 25 10.3 监控、评审与评价测量项目 ................................ 26 10.4 实施改进 ...................................... 26

附录A （资料性附录）信息安全测量模板 ........................................................ 附录B （资料性附录）

测度范例 ............................................................. 参考文献 ......................................... 31

2 / 31

2729

0 介绍 0.1 概述

本国际标准就测度和测量的开发和使用提供了指南和建议，以评估信息安全管理体系 (ISMS)的有效性，包括ISO/IEC 27001中用来实施和管理信息安全的 全控制措施。

通过使用信息安全测度，组织能识别现有信息安全管理体系的充分性，包括策略、风险管 理、控制目标、控制措施、过程和规程，并支持组织进行过程的修订，决定哪些 制措施应该变更和改进。

对该方法的实施组成了一个信息安全测量项目。信息安全测量项目将帮助管理层识别和评 价不符合和无效的控制措施，以及排列与这些控制措施改进或变更相关行动的优先次序。测量 项目也能帮助组织展示与 ISO/IEC

ISMS策略、控制目标和安

ISMS过程或控

27001 标准的符合程度，并能产生管理评审过程的输入。

对信息安全测量项目的实施，应该优先保证向利益相关方提供了关于各种最严重(或是最 高优先级别) 风险及其处置 /控制措施状态的可靠信息。 本国际标准假定开发测量的起点是对组 织和利益相关方所面临信息安全风险的充分理解，并且风险评估过程已经按照 要求得到了正确地实施。

一个有效的信息安全测量项目应改进利益相关方对可提供状态信息的各种测量的信心，并 使利益相关方能使用这些测量有效持续改进信息安全和信息安全管理体系。

本国际标准的使用能够支持对一段时间内信息安全目标达成情况的比较，以作为组织信息 安全管理体系持续改进过程的一部分。

本指南包括：

ISO/IEC 27001

a) b) c) d) e) f)

开发测度；

实施和运行一个信息安全测量项目； 向利益相关方收集、分析和沟通测度；

使用所收集的测度来帮助信息安全管理体系的相关决策；

使用所收集的测度来有效改进信息安全管理体系的控制目标和控制措施；

促进信息安全测量项目的持续改进。 本国际标准提供了模板，可能对测量的管理有所帮助。

0.2 管理层概述

ISO/IEC 27001 要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性，并指 明这些测度是怎

样被用来评估控制措施有效性，以产生可比较和可再现的结果。”

公认地，根据多种因素，包括风险暴露、规模、资源可用性、能力、行为和部门需求的不

同，被组织采用来测量控制措施有效性的方法也有所不同。仔细地选择和证明所使用的方法是 很重要的，这可以

3 / 31

保证过多的资源不被投入到信息安全管理体系中某个方面，从而损害到其它 必要的领域。明智地，应该将控制措施有效性测量纳入到组织的日常运作中，包括最小的附加 资源需求，以满足对测量的持续需求。

对所有组织来说，基本规程的要求已概括在 0.1 （指南列表）中。然而，某个因素（如系统 规模）可能影响组织测量控制措施有效性。一般而言，业务的规模和复杂度，及其与信息安全 重要性的组合，将影响所需测量的扩展程度，无论是测度数量还是测量频度。中小企业可以实 施基本理解意义上的信息安全测量项目，而大企业则可能多个信息安全测量项目。

在初始实施和适当改进措施被实施后，整个测量过程应该被评审。

本国际标准的使用将提供适当的文档和支持，这将有助于展示控制措施有效性正在被测量 和评估。

1 范围

本国际标准为开发和使用测量提供了指南，以评估 体系（ISMS）过程、控制目标以及控制措施的有效性。

本国际标准适用于任何类型和规模的组织。

ISO/IEC 27001中所描述的信息安全管理

2 规范性引用

以下的引用文档对本文的应用是不可缺少的。对那些标有日期的引用，只有该引用的版本 才适用。对于没有标日期的引用，应使用最新版本（包括任何修正文档）。

ISO/IEC 27001 ，信息技术——安全技术——信息安全管理体系――要求

3 术语和定义

以下术语和定义适用于本标准：

3.1

测量分析模型 analytical model for measurement 分析模型 analytical model

将一个或多个基本测度和 / 或导出测度与相关决策准则组合在一起的算法或计算。

3.2

属性 attribute 可由人或自动化工具定量或定性辨别的实体特征或特性。 [ISO/IEC 15939:2007]

4 / 31

3.3

基本测度 base measure 用某个属性及其量化方法定义的测度。 [ISO/IEC 15939:2007] 注1：一个基本测度在功能上独立于其它测度。

3.4

控制措施 control

管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、 法律等方面的。

[ISO/IEC 27002:2005] 注：控制措施也用于防护措施或对策的同义词。

3.5

数据 data

赋予基本测度、导出测度和（或）指标的值的集合。 [ISO/IEC 15939:2007]

3.6

决策准则 decision criteria

用于确定是否需要行动或进一步调查的，或者用于描述给定结果置信度的阈值、目标或模式。 [ISO/IEC

15939:2007]

3.7

导出测度 derived measure

定义为两个或两个以上基本测度的函数的测度。 [ISO/IEC 15939:2007] 3.8 指标 indicator

对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。

[ISO/IEC 15939:2007]

3.9

5 / 31