ISOIEC27004信息安全测量中文版.docx
《ISOIEC27004信息安全测量中文版.docx》由会员分享,可在线阅读,更多相关《ISOIEC27004信息安全测量中文版.docx(36页珍藏版)》请在冰豆网上搜索。
ISOIEC27004信息安全测量中文版
信息技术—安全技术—信息安全管理—测量
27004N6614(FCD)
标准草案
0介绍
0.1概述
本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。
通过使用信息安全测度,组织能识别现有信息安全管理体系的充分性,包括策略、风险管理、控制目标、控制措施、过程和规程,并支持组织进行过程的修订,决定哪些ISMS过程或控制措施应该变更和改进。
对该方法的实施组成了一个信息安全测量项目。
信息安全测量项目将帮助管理层识别和评价不符合和无效的控制措施,以及排列与这些控制措施改进或变更相关行动的优先次序。
测量项目也能帮助组织展示与ISO/IEC27001标准的符合程度,并能产生管理评审过程的输入。
对信息安全测量项目的实施,应该优先保证向利益相关方提供了关于各种最严重(或是最高优先级别)风险及其处置/控制措施状态的可靠信息。
本国际标准假定开发测量的起点是对组织和利益相关方所面临信息安全风险的充分理解,并且风险评估过程已经按照ISO/IEC27001要求得到了正确地实施。
一个有效的信息安全测量项目应改进利益相关方对可提供状态信息的各种测量的信心,并使利益相关方能使用这些测量有效持续改进信息安全和信息安全管理体系。
本国际标准的使用能够支持对一段时间内信息安全目标达成情况的比较,以作为组织信息安全管理体系持续改进过程的一部分。
本指南包括:
a)开发测度;
b)实施和运行一个信息安全测量项目;
c)向利益相关方收集、分析和沟通测度;
d)使用所收集的测度来帮助信息安全管理体系的相关决策;
e)使用所收集的测度来有效改进信息安全管理体系的控制目标和控制措施;
f)促进信息安全测量项目的持续改进。
本国际标准提供了模板,可能对测量的管理有所帮助。
0.2管理层概述
ISO/IEC27001要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性,并指明这些测度是怎样被用来评估控制措施有效性,以产生可比较和可再现的结果。
”
公认地,根据多种因素,包括风险暴露、规模、资源可用性、能力、行为和部门需求的不同,被组织采用来测量控制措施有效性的方法也有所不同。
仔细地选择和证明所使用的方法是很重要的,这可以保证过多的资源不被投入到信息安全管理体系中某个方面,从而损害到其它必要的领域。
明智地,应该将控制措施有效性测量纳入到组织的日常运作中,包括最小的附加资源需求,以满足对测量的持续需求。
对所有组织来说,基本规程的要求已概括在0.1(指南列表)中。
然而,某个因素(如系统规模)可能影响组织测量控制措施有效性。
一般而言,业务的规模和复杂度,及其与信息安全重要性的组合,将影响所需测量的扩展程度,无论是测度数量还是测量频度。
中小企业可以实施基本理解意义上的信息安全测量项目,而大企业则可能多个信息安全测量项目。
在初始实施和适当改进措施被实施后,整个测量过程应该被评审。
本国际标准的使用将提供适当的文档和支持,这将有助于展示控制措施有效性正在被测量和评估。
1范围
本国际标准为开发和使用测量提供了指南,以评估ISO/IEC27001中所描述的信息安全管理体系(ISMS)过程、控制目标以及控制措施的有效性。
本国际标准适用于任何类型和规模的组织。
2规范性引用
以下的引用文档对本文的应用是不可缺少的。
对那些标有日期的引用,只有该引用的版本才适用。
对于没有标日期的引用,应使用最新版本(包括任何修正文档)。
●ISO/IEC27001,信息技术——安全技术——信息安全管理体系――要求
3术语和定义
以下术语和定义适用于本标准:
3.1
测量分析模型analyticalmodelformeasurement
分析模型analyticalmodel
将一个或多个基本测度和/或导出测度与相关决策准则组合在一起的算法或计算。
3.2
属性attribute
可由人或自动化工具定量或定性辨别的实体特征或特性。
[ISO/IEC15939:
2007]
3.3
基本测度basemeasure
用某个属性及其量化方法定义的测度。
[ISO/IEC15939:
2007]
注1:
一个基本测度在功能上独立于其它测度。
3.4
控制措施control
管理风险的方法,包括策略、规程、指南、惯例或组织结构。
它们可以是行政、技术、管理、法律等方面的。
[ISO/IEC27002:
2005]
注:
控制措施也用于防护措施或对策的同义词。
3.5
数据data
赋予基本测度、导出测度和(或)指标的值的集合。
[ISO/IEC15939:
2007]
3.6
决策准则decisioncriteria
用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标或模式。
[ISO/IEC15939:
2007]
3.7
导出测度derivedmeasure
定义为两个或两个以上基本测度的函数的测度。
[ISO/IEC15939:
2007]
3.8
指标indicator
对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。
[ISO/IEC15939:
2007]
3.9
信息需要informationneed
为管理目标、目的、风险和问题所必需的见解。
[ISO/IEC15939:
2007]
3.10
信息安全管理体系informationsecuritymanagementsystem(ISMS)
整体管理体系的一部分,基于业务风险方法,建立、实施、运行、监控、核查、维持和改进信息安全[ISO/IEC27001:
2005]。
注:
管理系统包括组织结构,策略,计划活动,责任,实践,规程,过程和资源。
3.11
ISMS有效性ISMSeffectiveness
信息安全活动满足组织目标的程度。
注:
在本标准中,效率仅关注于控制措施的有效性。
3.12
测度Measure
一个变量,该变量被赋值,作为执行一次测量的结果。
[ISO/IEC15939:
2007]
注:
术语”measures”用来指基本测度、导出测度,以及指标。
3.13
测量measurement
一个过程,包括信息安全管理体系和用以实现控制目标的控制措施的有效性,以及信息安全管理体系各过程性能相关信息的获取,以及测量方法、测量函数、测量模型及测量准则的使用。
3.14
测量函数measurementfunction
为组合两个或两个以上基本测度而执行的算法或计算。
[ISO/IEC15939:
2007]
3.15
测量方法measurementmethod
一般地描述为,用于以指定的标度量化属性的逻辑操作序列。
[ISO/IEC15939:
2007]
注:
测量方法类型取决于用来量化属性的操作的性质。
可分为两种类型:
主观类――涉及人为判断的量化;
客观类――基于数字规则的量化。
3.16
测量结果measurementresults
针对信息安全需求的一个或多个指标及其相关的解释。
3.17
对象object
一个对象通过对其属性的测量得以识别
3.18
标度scale
一组有序的连续或离散值,或与属性映射的类目。
[ISO/IEC15939:
2007]
注:
标度类型取决于标度值间关系的性质,通常定义四种类型的标度:
标称标度――测量值是类目;
顺序标度――测量值是队列;
间隔标度――测量值的等距与属性的等量对应;
比率标度――测量值的等距与属性的等量对应,其中零值对应于无属性。
3.19
测量单位unitofmeasurement
按约定定义和采用的具体量,其他同类量与这个量进行比较,用以表示它们相对于这个量的大小。
[ISO/IEC15939:
2007]
3.20
确认validation
通过提供客观证据,证实对某个有意使用或应用的需求已经得到满足。
3.21
验证verification
通过提供客观证据,证实特定的要求已经得到满足。
注:
也称为符合性测试
4本标准的结构
除了为开发和使用测量提供了指南,以评估ISO/IEC27001中所描述的信息安全管理体系(ISMS)过程、控制目标以及控制措施的有效性外,本国际标准还提供了对测量过程及其活动的描述。
对信息安全测量项目及其模型的概述和背景信息见第5节。
管理职责见第6节。
第7节到第10节描述了测量项目中的各过程(详见5.2)。
如何开发和记录测量的附加信息见附录。
附录A提供了测量模板的范例,附录B提供了使用附录A中模板的测量范例。
5信息安全测量概述
5.1信息安全目标
在信息安全管理体系背景下,测量项目的目标可以包括:
a)评价所实施信息安全控制目标和控制措施的有效性;
b)评价信息安全管理体系有效性,包括持续改进循环;
c)基于组织整体业务风险,促进信息安全的性能改进;
d)提供客观数据和分析,来帮助管理评审、辅助决策,以及向管理层证明控制措施的改进;
e)为安全审核提供输入;
f)向相关的利益相关方沟通信息安全的有效性;
g)作为风险管理过程的输入;
h)为对有效性的内部比较和内部打分提供信息;以及
i)支持对所识别安全需求满足到何种程度的验证。
一个特定组织的测量项目应当基于大量的考虑,包括:
a)在支持组织整体业务活动和所面临的风险方面,信息安全所扮演的角色;
b)基于客观测量的持续改进;
c)适用的法律、规章,以及合同要求;
d)组织的架构;
e)实施信息安全测量的成本和收益;以及
f)组织对风险的接受态度。
图1解释了与ISO/IEC27001中描述的PDCA循环相比,测量活动的输入-输入循环关系。
图1PDCA循环中的测量输入与输出
为了达到信息安全测量所建立的目标,并在所有测量活动中实施PDCA循环,组织应该建立并管理一个信息安全测项目(见5.2)。
为获得基于信息安全测量模型(见5.3)的可重复的、客观的和有用的结果,组织还应建立一个测量活动框架。
5.2信息安全测量项目
一个信息安全测量项目通过使用测度,识别和评价信息安全管理体系的充分性和有效性,并对改进现有控制措施和整体信息安全管理体系的需求进行识别。
为了策划和组织多种和大量的测量,并为在一个指定的时间段和/或时期内有效和高效地执行测量提供资源,一个测量项目包括了所有必要的活动。
组织可以建立一个以上的测量项目。
管理层应该为测量项目建立角色和职责。
一个测量项目应包括以下过程:
a)测度和测量的开发(见第7节);
b)测量的运行(见第8节);
c)测度的分析和报告(见第9节);以及
d)测量项目改进(见第10节)。
图2展示了测量项目管理的过程流。
图2测量项目管理过程流示意图
通过测量的使用——信息安全测量项目的一个关键元素,可以对现有控制措施和过程进行评价来确定这些控制措施和过程是否充分和有效,或是这些控制措施和过程是否需要被改进或变更,从而改进整个信息安全管理体系。
为了成功达成信息安全管理体系的持续改进,信息安全测量项目应当考虑,例如,以下要素的适当组合:
a)管理层的承诺并有适当资源支持;
b)信息安全管理体系各过程和规程的存在;
c)能够捕获和报告有意义数据的过程;
d)基于信息安全管理体系目标的定量安全测度;
e)易于获取和测量的定量安全测度;
f)一个可重复的过程,以提供一段时间的相关趋势;
g)一个有用的追踪过程,以支持有效地调配资源;
h)以一种有意义的方式,一致、定期地收集、分析和报告测量数据;
i)利益相关方使用信息安全管理体系测量结果,来改进现有信息安全管理体系过程和控制措施的有效性;
j)一个反馈环,以支持整体改进;
k)对所产生结果有用性的评价;以及
l)风险管理过程的输入机制,来辅助对控制措施选择、实施以及资源分配的优先顺序。
一旦成功实施,信息安全测量项目能:
a)展示组织与适用法律、法规、规章的符合性;
b)支持对以前未检测到的未知信息安全因素的识别;
c)当描述历史和当前活动的测量时,有助于满足向管理层的报告需求;以及
d)被用作信息安全管理体系内审和管理评审的输入。
5.3信息安全测量模型
信息安全测量模型将单个的简单测度纳入更复杂的组合测度,从而提供全面的和一致的测量结果,可以不断重复地用于基准测试和比较。
图3中描述了一个信息安全测量模型。
通过应用该模型所开发的测量范例见附录B。
图3信息安全测量模型
以下各子节将使用这样一个范例来描述模型中的各元素:
策略要求所有员工在被授权访问信息系统前,应被适当告知信息处理的规则。
两个控制措施被定义来实施该策略:
a)所有员工在被授权访问信息系统前,必须签署用户协议;以及
b)所有员工在被授权访问信息系统前,必须接受信息安全意识培训。
5.3.1基本测度和测量方法
一个测量对象可能会有多个属性,只有这些属性中的一些为基本测度提供输入是有用的。
对测量对象的各种属性应用测量方法,得到基本测度。
一个给定的属性可被用在多个不同的测量上。
一个测量方法是用于以指定的标度量化属性的逻辑操作序列。
测量方法可以通过各类资源使用测量对象的数据,例如:
a)风险评估和风险分析结果;
b)调查表和个人面谈;
c)内部或外部审计报告;
d)事件记录,如日志、报表统计、审计轨迹等;
e)事故报告,尤其是那些造成影响发生的事故;
f)测试结果,如渗透性测试、社交工程、符合性工具和安全审计工具;以及
g)信息安全意识培训结果。
表1包含一个范例,说明测量对象、属性、测量方法和基本测度之间的关系。
测量对象
属性
测量方法
基本测度
员工安全意识过程
员工数据库中的员工记录中的个人字段
1)数据库查询,获取已接受意识培训的员工数。
2)数据库查询,获取已签署用户协议的员工数。
3)数据库查询,获取已接受意识培训并已签署用户协议的员工数。
4)数据库查询,获取全体员工数。
1)接受安全意识培训的员工数。
2)签署用户协议的员工数。
3)接受安全意识培训并签署用户协议的员工数。
4)员工总数。
5.3.2导出测度和测量函数
导出测度通过对一个或多个基本测度应用测量函数来定义。
一个给定的基本测度可能被用作多个导出测度的输入。
一个测量函数是为组合两个或两个以上基本测度而执行的算法或计算,定义了这些基本测度如何被聚合到一个导出测度。
导出测度的标度和单位依赖于其各组成基本测度的标度和单位,以及组合函数。
测量函数可能会包括多种不同的技术,如对所有基本测度取平均值,对基本测度应用权重,或将它们赋予定性值。
测量函数可能会使用不同标度来组合各基本测度,如百分比和定性评估结果。
表2包含一个范例,说明基本测度、测量函数和导出测度之间的关系。
基本测度
测量函数
导出测度
1)接受安全意识培训,并签署用户协议的员工数。
2)签署用户协议的员工数。
3)员工总数。
1)将接受安全意识培训,并签署用户协议的员工数除以员工总数,乘以100%。
2)将签署用户协议的员工数除以员工总数,乘以100%。
1)接受安全意识和培训,并签署用户协议的员工百分比。
2)签署用户协议的员工百分比。
5.3.3指标和分析模型
通过对导出测度应用分析模型,获得指标。
分析模型是将一个或多个基本测度和/或导出测度与相关决策准则组合在一起的算法或计算(见表3)。
指标是对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。
标度和测量方法会影响产生指标的分析技术的选择。
表3包含一个范例,说明导出测度、分析模型和指标之间的关系。
导出测度
分析模型
指标
1)接受安全意识培训,并签署用户协议的员工百分比。
2)签署用户协议的员工百分比。
X=已定义的组织可接受的策略符合性阈值。
指标值假设为“粗体”。
如果X%的用户签署了用户协议,指标值变为“斜体”。
如果X%的用户接受了安全意识培训并签署了用户协议,指标值变为“标准体”。
组织安全意识策略的符合性,在图形上用粗体、斜体和标准体重新表示。
注:
如果使用颜色编码,必须增强对颜色的描述,使用不同的阴影或不同的字体。
目的为了保障视障用户的使用,或者黑白打印的场合。
以下章节同样应用。
5.3.4测量结果和决策准则
基于已定义的决策准则,对适用的指标进行解释,可以得到测量结果的评价。
测量结果应当考虑评估信息安全管理体系过程、控制目标、控制措施有效性的整体测量目标。
决策准则是用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标或模式。
目标是可应用于组织整体或部分的详细的性能规格,来自于信息安全目标并需要被设置及达到,如信息安全管理体系目标和控制目标。
表4包含一个范例,说明指标、决策准则和测量结果之间的关系。
指标
决策准则
测量结果
组织安全意识策略的符合性,在图形上用粗体、斜体和标准体重新表示。
标准体——符合策略。
斜体和粗体——不符合策略。
向上趋势显示符合性得到改进,向下趋势显示符合性的恶化。
倾斜角度可能提供了控制措施实施有效性的见解。
任何方向的陡峭斜线显示对控制措施的实施需要做仔细的检查,来判断这种情况的原因。
消极趋势可能需要管理层的干预。
积极趋势应该进行检查,来识别潜在的最佳实践。
符合策略――不需要变更。
不符合策略――应该考虑修订(策略)。
6.管理职责
6.1概述
在信息安全管理体系范围内,管理层负责建立信息安全测量项目,引入不同的利益相关方(见7.4.3),并使用测量结果来作为监控和改进信息安全的输入。
为此,管理层应:
a)为信息安全项目建立一个策略;
b)建立信息安全项目的角色和职责;
c)确保信息安全项目目标的达成(见5.1);
d)提供充足的资源来执行信息安全测量项目;
e)确保适当的基础设施到位;
f)确保使用适当的工具执行测量过程;
g)建立测量结果的目标;
h)确保测量向组织内各利益相关方提供了充足的信息(正如7.4.3节所定义的),以有效监控各控制措施的有效性,并/或识别整体控制措施架构的缺陷;
管理层应通过适当分配测量相关的角色和责任,保证测量结果不受到被测量对象所有者的影响。
这可能是通过职责分割,或如果这不可能,通过使用允许独立检查的详细记录来实现。
6.2资源管理
管理层应该分配和提供资源来支持信息安全测量的必要功能,例如数据收集、分析、存储、报告和分发。
资源分配应包括以下方面的分配:
a)负责信息安全测量项目所有方面的人员;
b)适当的财务支持;以及
c)适当的基础设施支持,例如用于测量过程的物理基础设施和工具。
6.3测量培训,意识和能力
管理层应保证:
a)参与测量设计和使用的所有职员在模型和项目上被充分培训,并且有适当的能力来履行他们的角色;以及
b)使用测量的所有职员理解他们职责中有一部分是要为过程改进提供建议,这可能包括建议不同的测量。
7.测度和测量开发
7.1概述
本节描述了为了量化信息安全管理体系、控制目标和控制措施的有效性,并识别针对特定利益相关方的一套测量,怎样来开发测量。
这些测量将通过提供评估信息安全管理体系有效性的多种手段,以及支持组织内信息安全的持续改进,进一步加强信息安全管理体系的性能。
7.2测量范围识别
测量开发的过程应该被建立和记录,包括选择用于测量的具体控制措施和控制目标,识别这些对象的各种测量属性,明确测量,并且建立数据收集、分析、报告的各种过程与工具。
计划过程应包括识别财力、人力,以及基础设施(物理的和工具的)资源。
管理层有责任来提供这些资源,以保证信息安全测量的成功实施。
取决于组织的能力和资源,组织信息安全测量活动的最初范围可能会被限制在管理层给予最高优先级的活动、产品和服务上。
随着时间的推移,测量活动的最初范围可以扩大来包括信息安全管理体系的更多元素。
测量的利益相关方应该被识别并参与定义测量范围。
测量的利益相关方可能是组织单位内部或外部的,例如项目经理、信息系统经理或信息安全决策者。
关于每个控制措施有效性的具体信息被收集、聚合、分析,并向利益相关方进行展示。
组织应考虑在一段给定时间段内,对供一个决策者使用的测量数量进行限制,以保证基于所收集信息进行有效改变的能力。
过多的测量可能会削弱有效集中力量和未来活动优先排序的能力。
将被使用测量的优先顺序应基于特定组织的准则,并包括基于风险的考虑。
7.3信息需要识别
每个测量应对应于一个信息需要。
信息需要是对于哪些需要被测量的表述,关于ISMS过程、控制目标、控制措施,以及这些过程、控制目标、控制措施的实施。
应该通过执行下列活动来识别信息需要:
a)检查信息安全管理体系及其过程,例如:
1)组织的信息安全管理体系策略、目标、风险和安全要求;
2)法律、法规和合同的要求;
3)ISO/IEC27001标准中所描述的风险评估和处置过程的结果;
4)信息安全管理体系的有效性要求;
b)基于准则对所识别的信息需要,排列优先次序,例如:
1)风险处置优先次序;
2)组织的能力和资源;
3)利害相关方的利益;
4)信息安全策略;
5)为满足法律、法规和合同要求所需要的信息;
6)与测量成本相关的信息的价值;
c)根据已建立的准则,选择经过优先排序的信息需要;以及
d)向所有相关的利害相关方,记录和沟通已选择的信息需要。
所有适用于信息安全管理体系过程、控制目标和控制措施或成组的控制措施的测度,应该基于已选择的信息需要来实施。
7.4对象识别
信息安全测量能在整个背景和信息安全管理体系范围内,被用在不同的业务对象上。
识别用于测量的对象包括:
a)考虑已建立的测量目标;以及
b)明确这些对象的关键属性,这些属性可能会提供关于控制措施和控制目标有效性及其实施的相关信息。
描述测量对象和相应属性的数据将被用来作为单个基本测度的输入。
测量对象包括但不限于:
a)产品和服务;
b)过程;
c)适用的资产,如ISO/IEC27001中所识别的各种设施、应用程序,以及信息系统;
d)业务单元;
e)地理位置。
测量对象应该要仔细地选择,以确保测量的结果是有意义的。
所选择的对象应该和选择的理由一起被记录。
7.5测量开发和选择
组织应该使用已有的各种资源,来识别和剪裁信息安全测度。
每个测量应该被详细地开发,适合每个组织的需求,并应至少包括:
a)测度识别;
b)测量对象和属性;
c)基本测度;
d)导出测度;
e)指标;
f)数据收集规程;以及
g)数据分析规程。
信息安全测量的详细模板范例在附录A中提供。
ISO/IEC27001控制措施子集的测量范例参见附录B。
7.5.1测量方法
对每个基本测度应识别其测量方法。
通过将属性转换为基本测度,测量方法被用来量化测量对象。
测量方法可能是主观的或客观的。
主观方法含有对人的判断的量化,而客观方法是基于数字规则的量化,如可能通过手工或自动化手段实施的计算。
通过应用适当的标度,测量方法将属性量化成数值。
每个标度使用一个测量单位。
只有以同种测量单位表达的量才能直接进行比较。
不管是手