信息技术—安全技术—信息安全管理—测量 27004 N6614 (FCD)
标准草案
1
目录
0 介绍 ........................................................................ 4 0.1 概述 ...................................................................... 4 0.2 管理层概述 ................................................................ 4
1 范围 ........................................................................ 5
2 规范性引用 .................................................................. 5
3 术语和定义 .................................................................. 5
4 本标准的结构 ................................................................ 9
5 信息安全测量概述 ............................................................ 9 5.1 信息安全目标 .............................................................. 9 5.2 信息安全测量项目 ......................................................... 10 5.3 信息安全测量模型 ......................................................... 12 5.3.1 基本测度和测量方法 ..................................................... 13 5.3.2 导出测度和测量函数 ..................................................... 13 5.3.3 指标和分析模型 ......................................................... 14 5.3.4 测量结果和决策准则 ..................................................... 15
6. 管理职责 .................................................................. 15 6.1 概述 ..................................................................... 15 6.2 资源管理 ................................................................. 16 6.3 测量培训,意识和能力 ..................................................... 16
7. 测度和测量开发 ............................................................ 16 7.1 概述 ..................................................................... 16 7.2 测量范围识别 ............................................................. 16 7.3 信息需要识别 ............................................................. 17 7.4 对象识别 ................................................................. 18 7.5 测量开发和选择 ........................................................... 18 7.5.1 测量方法 ............................................................... 18 7.5.2 测量函数 ............................................................... 19 7.5.3 利益相关方 ............................................................. 19 7.5.4 属性选择和评审 ......................................................... 19 7.5.5 分析模型 ............................................................... 20 7.5.6 指标和报告格式 ......................................................... 20 7.5.7 决策准则 ............................................................... 20 7.6 测度证实 ................................................................. 21 7.7 数据收集、分析和报告 ..................................................... 21 7.8 记录 ..................................................................... 22
2
8. 测量运行 .................................................................. 22 8.1 概述 ..................................................................... 22 8.2 规程整合 ................................................................. 22 8.3 数据收集和处理 ........................................................... 23
9. 测量分析和报告 ............................................................ 23 9.1 概述 ..................................................................... 23 9.2 分析数据和产生测量结果 ................................................... 23 9.3 沟通结果 ................................................................. 24
10. 测量项目评价和改进 ....................................................... 25 10.1 概述 .................................................................... 25 10.2 识别测量项目的评价准则 .................................................. 25 10.3 监控、评审与评价测量项目................................................. 26 10.4 实施改进 ................................................................ 26
附录A(资料性附录) 信息安全测量模板 ......................................... 27
附录B(资料性附录) 测度范例 ................................................. 29
参考文献 ..................................................................... 31
3
0 介绍 0.1 概述
本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。
通过使用信息安全测度,组织能识别现有信息安全管理体系的充分性,包括策略、风险管理、控制目标、控制措施、过程和规程,并支持组织进行过程的修订,决定哪些ISMS过程或控制措施应该变更和改进。
对该方法的实施组成了一个信息安全测量项目。信息安全测量项目将帮助管理层识别和评价不符合和无效的控制措施,以及排列与这些控制措施改进或变更相关行动的优先次序。测量项目也能帮助组织展示与ISO/IEC 27001标准的符合程度,并能产生管理评审过程的输入。
对信息安全测量项目的实施,应该优先保证向利益相关方提供了关于各种最严重(或是最高优先级别)风险及其处置/控制措施状态的可靠信息。本国际标准假定开发测量的起点是对组织和利益相关方所面临信息安全风险的充分理解,并且风险评估过程已经按照ISO/IEC 27001要求得到了正确地实施。
一个有效的信息安全测量项目应改进利益相关方对可提供状态信息的各种测量的信心,并使利益相关方能使用这些测量有效持续改进信息安全和信息安全管理体系。
本国际标准的使用能够支持对一段时间内信息安全目标达成情况的比较,以作为组织信息安全管理体系持续改进过程的一部分。
本指南包括: a) 开发测度;
b) 实施和运行一个信息安全测量项目; c) 向利益相关方收集、分析和沟通测度;
d) 使用所收集的测度来帮助信息安全管理体系的相关决策;
e) 使用所收集的测度来有效改进信息安全管理体系的控制目标和控制措施; f) 促进信息安全测量项目的持续改进。
本国际标准提供了模板,可能对测量的管理有所帮助。
0.2 管理层概述
ISO/IEC 27001 要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性,并指明这些测度是怎样被用来评估控制措施有效性,以产生可比较和可再现的结果。”
4
公认地,根据多种因素,包括风险暴露、规模、资源可用性、能力、行为和部门需求的不同,被组织采用来测量控制措施有效性的方法也有所不同。仔细地选择和证明所使用的方法是很重要的,这可以保证过多的资源不被投入到信息安全管理体系中某个方面,从而损害到其它必要的领域。明智地,应该将控制措施有效性测量纳入到组织的日常运作中,包括最小的附加资源需求,以满足对测量的持续需求。
对所有组织来说,基本规程的要求已概括在0.1(指南列表)中。然而,某个因素(如系统规模)可能影响组织测量控制措施有效性。一般而言,业务的规模和复杂度,及其与信息安全重要性的组合,将影响所需测量的扩展程度,无论是测度数量还是测量频度。中小企业可以实施基本理解意义上的信息安全测量项目,而大企业则可能多个信息安全测量项目。
在初始实施和适当改进措施被实施后,整个测量过程应该被评审。
本国际标准的使用将提供适当的文档和支持,这将有助于展示控制措施有效性正在被测量和评估。 1 范围
本国际标准为开发和使用测量提供了指南,以评估ISO/IEC 27001中所描述的信息安全管理体系(ISMS)过程、控制目标以及控制措施的有效性。
本国际标准适用于任何类型和规模的组织。
2 规范性引用
以下的引用文档对本文的应用是不可缺少的。对那些标有日期的引用,只有该引用的版本才适用。对于没有标日期的引用,应使用最新版本(包括任何修正文档)。
? ISO/IEC 27001,信息技术——安全技术——信息安全管理体系――要求
3 术语和定义
以下术语和定义适用于本标准: 3.1
测量分析模型 analytical model for measurement 分析模型 analytical model
将一个或多个基本测度和/或导出测度与相关决策准则组合在一起的算法或计算。 3.2
5
ISO IEC 27004-2009信息安全测量中文版
