信息安全管理测评研究的论文
摘要:文章在简要介绍信息安全的基础上,结合实际安全管理测评工作经验,简单探讨了信息安全测评活动中安全管理测评的方法,说明了证据在测评活动中的作用,对测评结果的影响,讨论了如何在测评活动中合理利用证据。文章的研究分析成果为信息安全的安全管理测评提供了新的思路,丰富了安全管理测评的方法,具有一定的现实意义。
1 信息安全管理测评发展综述与需求
关于信息安全测评,美国早在2002年通过的《联邦信息安全管理法案》中就要求各机构每年必须对其信息安全实践进行独立测评,以确认其有效性。这种测评主要包括对管理、运行和技术三要素的控制和测试,其频率视风险情况而定,但不能少于每年一次。在独立评价的基础上,联邦管理与预算局应向国会上报评价汇总结果;而联邦审计署则需要周期性地评价并向国会汇报各机构信息安全策略和实践的有效性以及相关要求的执行情况。
2003年7月,美国国家标准与技术研究所(National Institute of Standards and Technology,NIST)发布了NIST SP 800-55《信息技术系统安全测量指南》,其包括以下内容[3]:
1) 角色和职责:介绍发展和执行信息安全测量的主要任务和职责。
2) 信息安全测量背景:介绍测量定义、进行信息安全测量的好处、测量类型、几种可以进行信息安全测量的控制、成功测量的重要因素、测量对管理、报告和决策的作用。
3) 测量发展和执行过程:介绍用于信息安全测量发展的方法。
4) 测量项目执行:讨论可以影响安全测量项目的技术执行的各种因素。
5) 以附件的形式给出的16种测量的模板。
2004年11月17日,美国的企业信息安全工作组(Corporate Information Security Working Group,CISWG)发布了CISWG CS1/05-0079《带有支撑管理测量的信息安全计划要素》[4],2005年国际标准化组织(ISO/IEC SC27)提出了信息安全管理体系(Information Security Management Systems,ISMS)的系列标准——ISO27000系列。2005年1月10日又发布了修订版,并作为针对ISO/IEC 2nd WD27004 的贡献文档提交给ISO/IEC JTC1 SC27,该文档是根据CISWG的最佳实践和测量小组的报告改编。
2005年8月31日,美国国际系统安全工程协会(International System Security Engineering Association,ISSEA)针对ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了题为“ISSEA Contribution Background”[5](ISSEA测量的贡献背景)和“ISSEA Metrics”[6](ISSEA测量)两个贡献文档。
2009年国际标准化组织(ISO)发布了ISO/IEC 27004:2009(信息技术一安全技术一信息安全管理测量)标准,为如何建立及测量ISMS及其控制措施提供了指导性建议[7]。
信息安全管理体系是信息安全保障体系的重要组成部分。近年来,随着组织对信息安全保障工作重视程度的日益增强,不少组织都依据标准GB/T 22081-2008建立了一套比较完善的ISMS来保护组织的重要信息资产,但是体系建立起来了,不少管理者都对ISMS的运行效果极其控制措施的有效性,持怀疑的态度。故此组织很有必要建立一套相应的测评方法来全面的对ISMS的运行情况进行科学的评价,进一步提升ISMS的执行力。该文研究的信息安全管理测评将为确定ISMS的实现目标,衡量ISMS执行的效力和效率提供一些思想、方法,其结果具有客观的可比性,还可以作为信息安全风险管理、安全投入优化和安全实现变更的客观依据,有助于降低安全风险,减少安全事件的概率和影响,改进安全控制和管理过程的效率或降低其成本。
2 信息安全管理测评研究内容
信息安全管理测评是信息安全管理体系的重要部分,是信息安全管理测量与评价的综合。信息安全管理测量的结果是信息安全绩效评价的依据。信息安全管理测量比较具体,信息安全管理评价则通过具体来反映宏观。 2.1 信息安全管理测评要素及其框架
信息安全管理测评要素包括:测评实体及其属性、基础测评方式、基础测评变量、导出测评制式、导出测评变量、测评方法、测评基线、测评函数、分析模型、指示器、决策准则、测评需求和可测评概念等,其框架如图3.1信息安全测评框架所示,包括:基于什么样的.需求来测评(即测评需求),对什么进行测评(即实体及其属性),用什么指标体系来测评(包括测评制式、测评变量和测评尺度),用什么方法来测评(即测评方法),用什么函数来计算测评结果(即测评函数),用什么模型来分析测评结果(即分析模型),用什么方式来使分析结果能够辅助决策(即指示器)等问题。
信息需求是测评需求方提出的对测评结果信息的需求。信息需求源自于组织的使命和业务目标,与相关利益者的利益诉求密切相关。指示器的生成和分析模型的选择是以信息需求为导向的。
决策准则是一种决定下一步行为的阈值。他有助于解释测评的结果。决策准则可能出自或基于对预期行为在概念上的理解和判断。决策准则可以从历史数据、计划和探索中导出,或作为统计控制限度或统计信心限度计算出来。
可测评概念是实体属性与信息需求之间的抽象关系,体现将可测评属性关联到信息需求以及如何关联的思想。可测评概念的例子有生产力、质量、风险、绩效、能力、成熟度和客户价值等。实体是能通过测评属性描述的对象。一个实体是测评其属性的一个对象,例如,过程、产品、系统、项目或资源。一个实体可能有一个或多个满足信息需求的属性。实践中,一个实体可被归类于多个上述类别。他可以是有形的也可是无形的。信息安全管理测评的实体包括信息安全管理体系建立过程中所有的控制项(信息安全管理测评要素)。属性是实体可测评的、物理的或抽象的性质。一个属性是能被人或自动手段定量或定性区分的一个实体的某一特性或特征。一个实体可能有多个属性,其中只有一些可能对测评有价值。测评模型实例化的第一步是选择与信息需求最相关的属性。一个给定属性可能被结合到支持不同信息需求的多个测评构造中。信息安全管理测评主要测评的是每一项控制措施的属性(信息安全管理测评指标)。
测评是以确定量值为目的的一组操作。信息安全管理测评是确定控制项的每一个具体指标的一组操作,可以有多种测评方法。基础测评是依照属性和定量方法而定义的测评方法,是用来直接测评某一属性的,是根据属性和量化他的方法来定义,他捕获单独属性的信息,其功能独立于其他测评。信息安全管理基础测评是对于控制项的指标可以直接测评出来的量。导出测评是通过测评其他属性来间接地测评某一属性的测评,是根据属性之间的关系来定义,他捕获多个属性或多个实体的相同属性的信息,其功能依赖于基础测评的,是两个或更多基础测评值得函数。
测评尺度是一组连续或离散的数字量值(如小数/百分比/自然数等)或离散的可数量值(如高/中/低/等)。测评尺度是规范测评变量取值的类型和范围。测评方法将所测评属性的量级影射到一个测评尺度上的量值后赋给测评变量。
测评尺度根据尺度上量值之间关系的性质分为四种类型:
名义(Nominal) :测评值是直呼其名。
序数(Ordinal) :测评值是有等级的。
间隔(Interval) :测评值是等距离的,对应于属性的等量,不可能是零值。
比率(Ratio) :测评值是等距离的,对应于属性的等量,无该属性为零值。
测评单位是作为惯例定义和被广泛接受的一个特定量。他被用作比较相同种类量值的基准,以表达他们相对于此量的量级。只有用相同测评单位表达的量值才能直接比较。测评单位的例子有公尺、公斤和小时等。
测评函数是将两个或更多测评变量结合成导出测评变量的算法。导出测评变量的尺度和单位依赖于作为函数输入的测评变量的尺度和单位以及他们通过函数结合的运算方式。分析模型是将一个或多个测评变量转化为指示器的算法。他是基于对测评变量和/或他们经过一段时间的表现之间的预期关系的理解或假设。分析模型产生与信息需求相关的评估或评价。测评方法和测评尺度影响分析模型的选择。
测评计划定义了测评实施的目标、方法、步骤和资源。测评频率是测评计划的执行频率。测评计划应按规定的频度定期地或在必要的时候不定期地执行。定期执行的规定频度应建立在信息效益的需求与获得他的成本之间的折中,可以是每周、每月、每季度或每年等。不定期执行的必要时候包括ISMS初始规划和实施以及ISMS本身或运行环境发生重大变化。
2.2 信息安全管理测评量表体系
任何测评都必须具备参照点、单位和量表三个要素。信息安全测评指标体系是信息安全测评的基础,是对指定属性的评价,这些属性与测评需求方的信息保障需求相关联,对他们进行评价为测评需求方提供有意义的信息。其总是以满足其信息保障需求和方便易理解的方式呈现给测评需求方的。标准GB/T 22081-2008是进行信息安全管理所参照的标准,其从信息安全方针、信息安全组织、法律法规符合性等11个方面,提出了133个控制措施供使用者在信息安全管理过程中选择适当的控制措施来加强信息安全管理。该标准所提供的控制措施基本能覆盖信息安全管理的各个方面。在建立信息安全管理测评指标体系的实践中,通常以控制措施的实施情况作为指标,建立预选指标集,通过对预选指标集的分析,采用专家咨询的方式筛选出能全面反映信息安全管理有效性的具体指标。
3 信息安全管理测评方法探讨
测评方法通常影响到用于给定属性的测评尺度类型。例如,主观测评方法通常只支持序数或名义类型的测评尺度。测评方法是使用指定的测评制式量化属性的操作逻辑序列。操作可能包括计算发生次数或观察经过时间等。同样的测评方法可能适用于多个属性。然而,每一个属性和测评方法的独特结合产生一个不同的基础测评。测评方法可能采用多种方式实现。测评规程描述给定机构背景下测评方法的特定实现。 测评方法根据量化属性的操作性质分为两种类型:
主观:含有人为判断的量化。
客观:基于数字规则(如计数)的量化。这些规则可能通过人或自动手段来实现。
测评方法的可能例子有:调查观察、问卷、知识评估、视察、再执行、系统咨询、测试(相关技术有设计测试和操作有效性测试等)、统计(相关技术有描述统计、假设检验、测评分析、过程能力分析、回归分析、可靠性分析、取样、模拟、统计过程控制(SPC, statistical Process control) 图和时序分析等)。
4 结束语
当前,信息安全领域的测评研究多侧重于对技术产品、系统性能等方面的测评,其中信息安全风险评估可通过对重要信息资产面临的风险、脆弱性的评价掌握组织的信息安全状况;信息安全审计则只是对信息安全相关行为和活动提供相关证据;而信息安全管理评审则是符合性审核,他们都不能对信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出评价。因此,非常有必要对信息安全管理的有效性进行测评,这将有助于了解信息安全管理过程中所采取的控制措施的有效性以及控制措施的执行情况,为管理者决策提供依据,也能为组织信息安全管理过程的持续改进提供足够的帮助,达到更好地管理信息安全的最终目的。
【信息安全管理测评研究的论文】相关文章:
信息安全管理中心设计研究论文03-24
信息安全管理提升的分析与研究的论文03-17
标准化信息管理与信息安全研究论文03-14
路网管理的信息安全加固方案研究论文03-24
数字化档案信息安全管理研究论文12-30
关于档案管理中信息安全研究论文03-23
高校计算机信息安全管理研究论文03-23
电力信息安全监控研究论文04-14