ISOIEC27004信息安全测量中文版Word格式.docx

1、b）实施和运行一个信息平安测量项目；c）向利益相关方收集、分析和沟通测度；d）使用所收集的测度来帮助信息平安管理体系的相关决策；e）使用所收集的测度来有效改良信息平安管理体系的控制目标和控制措施；f）促进信息平安测量项目的持续改良。本国际标准提供了模板，可能对测量的管理有所帮助。0.2 管理层概述ISO/IEC 27001 要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性，并指明这些测度是怎样被用来评估控制措施有效性，以产生可比拟和可再现的结果。公认地，根据多种因素，包括风险暴露、规模、资源可用性、能力、行为和部门需求的不同，被组织采用来测量控制措施有效性的方法也有所不同。仔细地选择

2、和证明所使用的方法是很重要的，这可以保证过多的资源不被投入到信息平安管理体系中某个方面，从而损害到其它必要的领域。明智地，应该将控制措施有效性测量纳入到组织的日常运作中，包括最小的附加资源需求，以满足对测量的持续需求。对所有组织来说，根本规程的要求已概括在0.1指南列表中。然而，某个因素如系统规模可能影响组织测量控制措施有效性。一般而言，业务的规模和复杂度，及其与信息平安重要性的组合，将影响所需测量的扩展程度，无论是测度数量还是测量频度。中小企业可以实施根本理解意义上的信息平安测量项目，而大企业那么可能多个信息平安测量项目。在初始实施和适当改良措施被实施后，整个测量过程应该被评审。本国际标准的

3、使用将提供适当的文档和支持，这将有助于展示控制措施有效性正在被测量和评估。1 围本国际标准为开发和使用测量提供了指南，以评估ISO/IEC 27001中所描述的信息平安管理体系ISMS过程、控制目标以及控制措施的有效性。本国际标准适用于任何类型和规模的组织。2 规性引用以下的引用文档对本文的应用是不可缺少的。对那些标有日期的引用，只有该引用的版本才适用。对于没有标日期的引用，应使用最新版本包括任何修正文档。ISO/IEC 27001，信息技术平安技术信息平安管理体系要求3 术语和定义以下术语和定义适用于本标准：3.1测量分析模型 analytical modelfor measurement分

4、析模型 analytical model将一个或多个根本测度和/或导出测度与相关决策准那么组合在一起的算法或计算。3.2属性 attribute 可由人或自动化工具定量或定性区分的实体特征或特性。ISO/IEC 15939:20073.3根本测度 base measure 用某个属性及其量化方法定义的测度。注1：一个根本测度在功能上独立于其它测度。3.4控制措施 control管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。ISO/IEC 27002:2005注：控制措施也用于防护措施或对策的同义词。3.5数据 data赋予根本测度、导出测度和或

5、指标的值的集合。3.6决策准那么 decision criteria用于确定是否需要行动或进一步调查的，或者用于描述给定结果置信度的阈值、目标或模式。3.7导出测度 derived measure 定义为两个或两个以上根本测度的函数的测度。3.8指标 indicator对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。3.9信息需要 information need为管理目标、目的、风险和问题所必需的见解。3.10信息平安管理体系 information security management system （ISMS） 整体管理体系的一局部，基于业务风险方法，建立、实施、运行、监

6、控、核查、维持和改良信息平安ISO/IEC 27001: 2005。管理系统包括组织结构，策略，计划活动，责任，实践，规程，过程和资源。3.11ISMS有效性 ISMS effectiveness信息平安活动满足组织目标的程度。在本标准中，效率仅关注于控制措施的有效性。3.12测度 Measure 一个变量，该变量被赋值，作为执行一次测量的结果。术语measures 用来指根本测度、导出测度，以及指标。3.13测量 measurement 一个过程，包括信息平安管理体系和用以实现控制目标的控制措施的有效性，以及信息平安管理体系各过程性能相关信息的获取，以及测量方法、测量函数、测量模型及测量准那

7、么的使用。3.14测量函数 measurement function 为组合两个或两个以上根本测度而执行的算法或计算。ISO/IEC15939:3.15测量方法 measurement method 一般地描述为，用于以指定的标度量化属性的逻辑操作序列。测量方法类型取决于用来量化属性的操作的性质。可分为两种类型：主观类涉及人为判断的量化；客观类基于数字规那么的量化。3.16测量结果 measurementresults针对信息平安需求的一个或多个指标及其相关的解释。3.17对象 object一个对象通过对其属性的测量得以识别3.18标度scale 一组有序的连续或离散值，或与属性映射的类目。2

8、007 标度类型取决于标度值间关系的性质，通常定义四种类型的标度：标称标度测量值是类目；顺序标度测量值是队列；间隔标度测量值的等距与属性的等量对应；比率标度测量值的等距与属性的等量对应，其中零值对应于无属性。3.19测量单位 unit of measurement按约定定义和采用的具体量，其他同类量与这个量进展比拟，用以表示它们相对于这个量的大小。3.20确认validation通过提供客观证据，证实对某个有意使用或应用的需求已经得到满足。3.21验证 verification通过提供客观证据，证实特定的要求已经得到满足。也称为符合性测试4 本标准的结构除了为开发和使用测量提供了指南，以评估I

9、SO/IEC 27001中所描述的信息平安管理体系ISMS过程、控制目标以及控制措施的有效性外，本国际标准还提供了对测量过程及其活动的描述。对信息平安测量项目及其模型的概述和背景信息见第5节。管理职责见第6节。第7节到第10节描述了测量项目中的各过程详见5.2。如何开发和记录测量的附加信息见附录。附录A提供了测量模板的例，附录B提供了使用附录A中模板的测量例。5 信息平安测量概述5.1 信息平安目标在信息平安管理体系背景下，测量项目的目标可以包括：a）评价所实施信息平安控制目标和控制措施的有效性；b）评价信息平安管理体系有效性，包括持续改良循环；c）基于组织整体业务风险，促进信息平安的性能改良

10、；d）提供客观数据和分析，来帮助管理评审、辅助决策，以及向管理层证明控制措施的改良；e）为平安审核提供输入；f）向相关的利益相关方沟通信息平安的有效性；g）作为风险管理过程的输入；h）为对有效性的部比拟和部打分提供信息；以及i）支持对所识别平安需求满足到何种程度的验证。一个特定组织的测量项目应当基于大量的考虑，包括：a）在支持组织整体业务活动和所面临的风险方面，信息平安所扮演的角色；b）基于客观测量的持续改良；c）适用的法律、规章，以及合同要求；d）组织的架构；e）实施信息平安测量的本钱和收益；f）组织对风险的承受态度。图1 解释了与ISO/IEC 27001中描述的PDCA循环相比，测量活动

11、的输入输入循环关系。图1PDCA循环中的测量输入与输出为了到达信息平安测量所建立的目标，并在所有测量活动中实施PDCA循环，组织应该建立并管理一个信息平安测项目见5.2。为获得基于信息平安测量模型见5.3的可重复的、客观的和有用的结果，组织还应建立一个测量活动框架。5.2 信息平安测量项目一个信息平安测量项目通过使用测度，识别和评价信息平安管理体系的充分性和有效性，并对改良现有控制措施和整体信息平安管理体系的需求进展识别。为了策划和组织多种和大量的测量，并为在一个指定的时间段和/或时期有效和高效地执行测量提供资源，一个测量项目包括了所有必要的活动。组织可以建立一个以上的测量项目。管理层应该为测

12、量项目建立角色和职责。一个测量项目应包括以下过程：a）测度和测量的开发见第7节；b）测量的运行见第8节；c）测度的分析和报告见第9节；d）测量项目改良见第10节。图2展示了测量项目管理的过程流。图2 测量项目管理过程流示意图通过测量的使用信息平安测量项目的一个关键元素，可以对现有控制措施和过程进展评价来确定这些控制措施和过程是否充分和有效，或是这些控制措施和过程是否需要被改良或变更，从而改良整个信息平安管理体系。为了成功达成信息平安管理体系的持续改良，信息平安测量项目应当考虑，例如，以下要素的适当组合：a）管理层的承诺并有适当资源支持；b）信息平安管理体系各过程和规程的存在；c）能够捕获和报告有意义数据的过程；d）基于信息平安管理体系目标的定量平安测度；e）易于获取和测量的定量平安测度；f）一个可重复的过程，以提供一段时间的相关趋势；g）一个有用的追踪过程，以支持有效地调配资源；h）以一种有意义的方式，一致、定期地收集、分析和报告测量数据；i）利益相关方