ISO-IEC-27004-2009信息安全測量中文版

1、ISO-IEC-27004-2009 信息安全 測量中文版 信息技術安全技術信息安全管理測量 27004 N6614 (FCD) 標準草案 目錄 0 介紹 0.1 概述 0.2 管理層概述 1 范圍 6 6 8 10 2 規(guī)范性引用 10 3 術語和定義 11 4 本標準的結構 19 5 信息安全測量概述 20 5.1 信息安全目標 20 5.2 信息安全測量項目 23 5.3 信息安全測量模型 27 5.3.1 基本測度和測量方法 . 28 5.3.2 導出測度和測量函數 . 30 5.3.3 指標和分析模型 32 5.3.4 測量結果和決策準則 34 6. 管理職責 36 6.1 概述 3

2、6 6.2 資源管理 37 6.3 測量培訓，意識和能力 38 7. 測度和測量開發(fā) 39 7.1 概述 39 7.2 測量范圍識別 39 7.3 信息需要識別 41 7.4 對象識別 42 7.5 測量開發(fā)和選擇 44 7.5.1 測量方法 45 7.5.2 測量函數 46 7.5.3 利益相關方 47 7.5.4 屬性選擇和評審 48 7.5.5 分析模型 48 7.5.6 指標和報告格式 49 7.5.7 決策準則 50 7.6 測度證實 51 7.7 數據收集、分析和報告 52 7.8 記錄 54 8. 測量運行 55 8.1 概述 55 8.2 規(guī)程整合 56 8.3 數據收集和處理

3、 57 9. 測量分析和報告 58 9.1 概述 58 9.2 分析數據和產生測量結果 59 9.3 溝通結果 61 10. 測量項目評價和改進 63 10.1 概述 63 10.2 識別測量項目的評價準則 64 10.3 監(jiān)控、評審與評價測量項目 66 10.4 實施改進 67 附錄 A（資料性附錄）信息安全測量模板 68 附錄 B（資料性附錄）測度范例 . 73 參考文獻 76 0 介紹 0.1 概述 本國際標準就測度和測量的開發(fā)和使用提供 了指南和建議，以評估信息安全管理體系（ ISMS） 的有效性，包括 ISO/IEC 27001 中用來實施和管理 信息安全的 ISMS策略、控制目標和

4、安全控制措施。 通過使用信息安全測度， 組織能識別現有信息 安全管理體系的充分性， 包括策略、 風險管理、控 制目標、控制措施、過程和規(guī)程， 并支持組織進行 過程的修訂，決定哪些 ISMS過程或控制措施應該變 更和改進。 對該方法的實施組成了一個信息安全測量項 目。信息安全測量項目將幫助管理層識別和評價不 符合和無效的控制措施， 以及排列與這些控制措施 改進或變更相關行動的優(yōu)先次序。 測量項目也能幫 助組織展示與 ISO/IEC 27001 標準的符合程度，并 6 能產生管理評審過程的輸入 對信息安全測量項目的實施， 應該優(yōu)先保證向 利益相關方提供了關于各種最嚴重 （或是最高優(yōu)先 級別）風險及

5、其處置 / 控制措施狀態(tài)的可靠信息 本國際標準假定開發(fā)測量的起點是對組織和利益 相關方所面臨信息安全風險的充分理解， 并且風險 評估過程已經按照 ISO/IEC 27001 要求得到了正確 地實施。 一個有效的信息安全測量項目應改進利益相 關方對可提供狀態(tài)信息的各種測量的信心， 并使利 益相關方能使用這些測量有效持續(xù)改進信息安全 和信息安全管理體系。 本國際標準的使用能夠支持對一段時間內信 息安全目標達成情況的比較， 以作為組織信息安全 管理體系持續(xù)改進過程的一部分。 本指南包括： a) 開發(fā)測度； b) 實施和運行一個信息安全測量項目； c) 向利益相關方收集、分析和溝通測度； d) 使用所

6、收集的測度來幫助信息安全管理體系 的相關決策； e) 使用所收集的測度來有效改進信息安全管理 體系的控制目標和控制措施； f) 促進信息安全測量項目的持續(xù)改進。 本國際標準提供了模板， 可能對測量的管理有 所幫助。 0.2 管理層概述 ISO/IEC 27001 要求管理層“定義怎樣測量 所選擇的一個或一組控制措施的有效性， 并指明這 些測度是怎樣被用來評估控制措施有效性， 以產生 可比較和可再現的結果 公認地，根據多種因素，包括風險暴露、 規(guī)模、 資源可用性、 能力、行為和部門需求的不同， 被組 織采用來測量控制措施有效性的方法也有所不同。 仔細地選擇和證明所使用的方法是很重要的， 這可 以

7、保證過多的資源不被投入到信息安全管理體系 中某個方面，從而損害到其它必要的領域。 明智地 應該將控制措施有效性測量納入到組織的日常運 作中，包括最小的附加資源需求， 以滿足對測量的 持續(xù)需求。 對所有組織來說，基本規(guī)程的要求已概括在 0.1 （指南列表）中。然而，某個因素（如系統規(guī) 模）可能影響組織測量控制措施有效性。 一般而言， 業(yè)務的規(guī)模和復雜度， 及其與信息安全重要性的組 合，將影響所需測量的擴展程度， 無論是測度數量 還是測量頻度。中小企業(yè)可以實施基本理解意義上 的信息安全測量項目， 而大企業(yè)則可能多個信息安 全測量項目 在初始實施和適當改進措施被實施后， 整個測 量過程應該被評審。

8、本國際標準的使用將提供適當的文檔和支持， 這將有助于展示控制措施有效性正在被測量和評 估。 1 范圍 本國際標準為開發(fā)和使用測量提供了指南， 以 評估ISO/IEC 27001中所描述的信息安全管理體系 （ISMS）過程、控制目標以及控制措施的有效性。 本國際標準適用于任何類型和規(guī)模的組織。 2 規(guī)范性引用 以下的引用文檔對本文的應用是不可缺少的 對那些標有日期的引用，只有該引用的版本才適 10 用。對于沒有標日期的引用， 應使用最新版本 （包 括任何修正文檔）。 ISO/IEC 27001 ，信息技術安全技術 信息安全管理體系要求 3 術語和定義 以下術語和定義適用于本標準： 3.1 測量分

9、析模型 analytical model for measurement 分析模型 analytical model 將一個或多個基本測度和 / 或導出測度與相關決策 準則組合在一起的算法或計算。 3.2 屬性 attribute 11 可由人或自動化工具定量或定性辨別的實體特征 或特性。 ISO/IEC 15939:2007 3.3 基本測度 base measure 用某個屬性及其量化方法定義的測度。 ISO/IEC 15939:2007 注1：一個基本測度在功能上獨立于其它測度。 3.4 控制措施 control 管理風險的方法，包括策略、 規(guī)程、指南、 慣例或 組織結構。它們可以是行政

10、、 技術、管理、 法律等 方面的。 ISO/IEC 27002:2005 注：控制措施也用于防護措施或對策的同義詞。 12 3.5 數據 data 賦予基本測度、 導出測度和（或）指標的值的集合 ISO/IEC 15939:2007 3.6 決策準則 decision criteria 用于確定是否需要行動或進一步調查的， 或者用于 描述給定結果置信度的閾值、目標或模式。 ISO/IEC 15939:2007 3.7 導出測度 derived measure 定義為兩個或兩個以上基本測度的函數的測度 ISO/IEC 15939:2007 3.8 13 指標 indicator 對由規(guī)定信息需要

11、的相關模型導出的指定屬性提 供估算或評價的測度。 ISO/IEC 15939:2007 3.9 信息需要 information need 為管理目標、目的、風險和問題所必需的見解。 ISO/IEC 15939:2007 3.10 信 息 安 全 管 理 體 系 information security management system (ISMS) 整體管理體系的一部分， 基于業(yè)務風險方法， 建立、 實施、運行、監(jiān)控、核查、維持和改進信息安全 ISO/IEC 27001: 2005 。 注：管理系統包括組織結構， 策略，計劃活動，責 任，實踐，規(guī)程，過程和資源 14 3.11 ISMS有效

12、性 ISMS effectiveness 信息安全活動滿足組織目標的程度。 注：在本標準中，效率僅關注于控制措施的有效性。 3.12 測度 Measure 一個變量，該變量被賦值， 作為執(zhí)行一次測量的結 果。 ISO/IEC 15939:2007 注：術語” measures” 用來指基本測度、導出測 度，以及指標。 3.13 測量 measurement 一個過程，包括信息安全管理體系和用以實現控制 目標的控制措施的有效性， 以及信息安全管理體系 15 各過程性能相關信息的獲取， 以及測量方法、 測量 函數、測量模型及測量準則的使用。 3.14 測量函數 measurement functi

13、on 為組合兩個或兩個以上基本測度而執(zhí)行的算法或 計算。 ISO/IEC 15939:2007 3.15 測量方法 measurement method 一般地描述為，用于以指定的標度量化屬性的邏輯 操作序列。 ISO/IEC 15939:2007 注：測量方法類型取決于用來量化屬性的操作的性 質?？煞譃閮煞N類型： 主觀類涉及人為判斷的量化； 客觀類基于數字規(guī)則的量化。 16 3.16 測量結果 measurement results 針對信息安全需求的一個或多個指標及其相關的 解釋。 3.17 對象 object 一個對象通過對其屬性的測量得以識別 3.18 標度 scale 一組有序的連續(xù)

14、或離散值，或與屬性映射的類目 ISO/IEC 15939:2007 注：標度類型取決于標度值間關系的性質， 通常定 義四種類型的標度： 標稱標度測量值是類目； 17 順序標度測量值是隊列； 間隔標度測量值的等距與屬性的等量對 應； 比率標度測量值的等距與屬性的等量對 應，其中零值對應于無屬性。 3.19 測量單位 unit of measurement 按約定定義和采用的具體量， 其他同類量與這個量 進行比較，用以表示它們相對于這個量的大小。 ISO/IEC 15939:2007 3.20 確認 validation 通過提供客觀證據，證實對某個有意使用或應用的 需求已經得到滿足。 18 3.

15、21 驗證 verification 通過提供客觀證據，證實特定的要求已經得到滿 足。 注：也稱為符合性測試 4 本標準的結構 除了為開發(fā)和使用測量提供了指南，以評估 ISO/IEC 27001 中所描述的信息安全管理體系 （ISMS）過程、控制目標以及控制措施的有效性外， 本國際標準還提供了對測量過程及其活動的描述。 對信息安全測量項目及其模型的概述和背景 信息見第 5節(jié)。管理職責見第 6節(jié)。第 7節(jié)到第 10節(jié) 描述了測量項目中的各過程（詳見 5.2 ） 如何開發(fā)和記錄測量的附加信息見附錄。附 19 錄A提供了測量模板的范例， 附錄B提供了使用附錄 A中模板的測量范例。 5 信息安全測量概

16、述 5.1 信息安全目標 在信息安全管理體系背景下，測量項目的目 標可以包括： a) 評 價所實施信息安全控制目標和控制措施的 有效性； b) 評價信息安全管理體系有效性，包括持續(xù)改 進循環(huán)； c) 基于組織整體業(yè)務風險，促進信息安全的性 能改進； d) 提供客觀數據和分析，來幫助管理評審、輔 助決策，以及向管理層證明控制措施的改進； e) 為安全審核提供輸入； 20 f) 向 相關的利益相關方溝通信息安全的有效 性； g) 作為風險管理過程的輸入； h) 為對有效性的內部比較和內部打分提供信 息；以及 i) 支持對所識別安全需求滿足到何種程度的驗 證。 一個特定組織的測量項目應當基于大量的考

17、 慮，包括： a) 在支持組織整體業(yè)務活動和所面臨的風險方 面，信息安全所扮演的角色； b) 基 于客觀測量的持續(xù)改進； c) 適用的法律、規(guī)章，以及合同要求； d) 組 織的架構； e) 實施信息安全測量的成本和收益；以及 f) 組織對風險的接受態(tài)度 21 圖1 解 釋 了與 ISO/IEC 27001 中 描 述的 PDCA 循環(huán)相比，測量活動的輸入輸入循環(huán)關 系。 圖1 PDCA 循環(huán)中的測量輸入與輸出 為了達到信息安全測量所建立的目標，并在 所有測量活動中實施 PDCA循環(huán)，組織應該建立并管 22 理一個信息安全測項目（見 5.2 ）。為獲得基于信 息安全測量模型（見 5.3 ）的可重

18、復的、客觀的和 有用的結果，組織還應建立一個測量活動框架。 5.2 信息安全測量項目 一個信息安全測量項目通過使用測度，識別 和評價信息安全管理體系的充分性和有效性， 并對 改進現有控制措施和整體信息安全管理體系的需 求進行識別。 為了策劃和組織多種和大量的測量，并為在 一個指定的時間段和 / 或時期內有效和高效地執(zhí)行 測量提供資源，一個測量項目包括了所有必要的活 動。組織可以建立一個以上的測量項目。 管理層應 該為測量項目建立角色和職責。 一個測量項目應包括以下過程： a）測度和測量的開發(fā)（見第 7節(jié)）； 23 b）測 量的運行（見第 8節(jié)）； c）測度的分析和報告（見第 9節(jié)）；以及 d）

19、測 量項目改進（見第 10節(jié)）。 圖2展示了測量項目管理的過程流。 圖 2 測量項目管理過程流示意圖 通過測量的使用信息安全測量項目的一 個關鍵元素，可以對現有控制措施和過程進行評價 來確定這些控制措施和過程是否充分和有效， 或是 這些控制措施和過程是否需要被改進或變更， 從而 24 改進整個信息安全管理體系 為了成功達成信息安全管理體系的持續(xù)改 進，信息安全測量項目應當考慮， 例如， 以下要素 的適當組合： a) 管理層的承諾并有適當資源支持； b) 信 息安全管理體系各過程和規(guī)程的存在； c) 能夠捕獲和報告有意義數據的過程； d) 基于信息安全管理體系目標的定量安全測 e) 易 于獲取和

20、測量的定量安全測度； f) 一 個可重復的過程，以提供一段時間的相關 趨勢； g) 一個有用的追蹤過程，以支持有效地調配資 源； h) 以 一種有意義的方式，一致、定期地收集、 分析和報告測量數據； 25 i) 利 益相關方使用信息安全管理體系測量結 果，來改進現有信息安全管理體系過程和控 制措施的有效性； j) 一個反饋環(huán)，以支持整體改進； k) 對所產生結果有用性的評價；以及 l) 風險管理過程的輸入機制，來輔助對控制措 施選擇、實施以及資源分配的優(yōu)先順序。 一旦成功實施，信息安全測量項目能： a) 展示組織與適用法律、法規(guī)、規(guī)章的符合性； b) 支 持對以前未檢測到的未知信息安全因素的

21、識別； c) 當 描述歷史和當前活動的測量時，有助于滿 足向管理層的報告需求；以及 d) 被用作信息安全管理體系內審和管理評審的 輸入。 26 5.3 信息安全測量模型 信息安全測量模型將單個的簡單測度納入更 復雜的組合測度，從而提供全面的和一致的測量結 果，可以不斷重復地用于基準測試和比較。圖 3中 描述了一個信息安全測量模型。 通過應用該模型所 開發(fā)的測量范例見附錄 B。 圖 3 信息安全測量模型 以下各子節(jié)將使用這樣一個范例來描述模型 中的各元素：策略要求所有員工在被授權訪問信息 系統前，應被適當告知信息處理的規(guī)則。 兩個控制 措施被定義來實施該策略： 27 a) 所有員工在被授權訪問信

22、息系統前，必須簽 署用戶協議；以及 b) 所有員工在被授權訪問信息系統前，必須接 受信息安全意識培訓。 5.3.1 基本測度和測量方法 一個測量對象可能會有多個屬性，只有這些 屬性中的一些為基本測度提供輸入是有用的。 對測 28 量對象的各種屬性應用測量方法，得到基本測度。 一個給定的屬性可被用在多個不同的測量上。 一個測量方法是用于以指定的標度量化屬性 的邏輯操作序列。 測量方法可以通過各類資源使用測量對象的 數據，例如： a)風險評估和風險分析結果； b) 調查表和個人面談； c) 內部或外部審計報告； d) 事件記錄，如日志、報表統計、審計軌跡 e) 事故報告，尤其是那些造成影響發(fā)生的事

23、 故； f) 測試結果，如滲透性測試、社交工程、符 合性工具和安全審計工具；以及 g) 信息安全意識培訓結果。 表1包含一個范例，說明測量對象、屬性、測 量方法和基本測度之間的關系 測量對 象 屬性 測量方法 基本測度 員工安 全意識 過程 員工數 據庫中 的員工 記錄中 1) 數據庫查詢，獲 取已接受意識 培訓的員工數。 2) 數據庫查詢，獲 1) 接受安 全意識 培訓的 員工數。 29 的個人 取已簽署 用戶 字段 協議的員工數。 3) 數據庫查詢，獲 取已接受意識 培訓并已簽署 用戶協議的員 工數。 4) 數據庫查詢，獲 取全體員工數。 2)簽署用 戶協議 的員工 數。 3) 接受安 全

24、意識 培訓并 簽署用 戶協議 的員工 數。 4) 員工總 數。 5.3.2 導出測度和測量函數 30 導出測度通過對一個或多個基本測度應用測 量函數來定義。一個給定的基本測度可能被用作多 個導出測度的輸入。 一個測量函數是為組合兩個或兩個以上基本 測度而執(zhí)行的算法或計算， 定義了這些基本測度如 何被聚合到一個導出測度。 導出測度的標度和單位依賴于其各組成基本 測度的標度和單位，以及組合函數。 測量函數可能會包括多種不同的技術， 如對所 有基本測度取平均值， 對基本測度應用權重， 或將 它們賦予定性值。測量函數可能會使用不同標度來 組合各基本測度，如百分比和定性評估結果。 表2包含一個范例，說明

25、基本測度、測量函數 和導出測度之間的關系。 基本測度 測量函數 導出測度 1 ) 接受安 全意識 1) 將接受安全意識培 訓，并簽署用戶協議 1) 接受安全意 識和培訓， 31 培訓， 并簽署 的員工數除以員工 總數，乘以 100% 。 并簽署用戶 協議的員工 用戶協 議的員 工數。 2) 簽署用 戶協議 的員工 數。 3) 員工總 數。 2) 將簽署用戶協議的 員工數除以員工總 數，乘以 100% 。 百分比。 2) 簽署用戶協 議的員工百 分比。 5.3.3 指標和分析模型 通過對導出測度應用分析模型，獲得指標 分析模型是將一個或多個基本測度和 / 或導出測度 與相關決策準則組合在一起的算

26、法或計算(見表 32 3）。 指標是對由規(guī)定信息需要的相關模型導出的 指定屬性提供估算或評價的測度。 標度和測量方法 會影響產生指標的分析技術的選擇。 表3包含一個范例，說明導出測度、分析模型 和指標之間的關系。 導出測度 分析模型 指標 1）接受安 全意識 培訓， 并簽署 用戶協 議的員 工百分 比。 2）簽署用 X已定義的組織可接 受的策略符合性閾值。 指標值假設為“粗體”。 如果 X的用戶簽署了 用戶協議， 指標值變?yōu)?“斜體”。 如果 X的用戶接受了 安全意識培訓并簽署 了用戶協議， 指標值變 組織安全意識 策略的符合 性，在圖形上 用粗體、斜體 和標準體重新 表示。 33 戶協議 的

27、員工 為“標準體”。 分 百比 注：如果使用顏色編碼，必須增強對顏色的 描述，使用不同的陰影或不同的字體。 目的為了保 障視障用戶的使用， 或者黑白打印的場合。 以下章 節(jié)同樣應用。 5.3.4 測量結果和決策準則 基于已定義的決策準則，對適用的指標進行 解釋，可以得到測量結果的評價。 測量結果應當考 慮評估信息安全管理體系過程、 控制目標、 控制措 施有效性的整體測量目標。 決策準則是用于確定是否需要行動或進一步 調查的，或者用于描述給定結果置信度的閾值、 目 34 標或模式。 目標是可應用于組織整體或部分的詳細的性 能規(guī)格，來自于信息安全目標并需要被設置及達 到，如信息安全管理體系目標和控

28、制目標。 表4包含一個范例，說明指標、決策準則和測 量結果之間的關系。 指標 決策準則 測量結果 組織安全 意識策略 的符合性， 在圖形上 用粗體、斜 體和標準 體重新表 示。 標準體符合策略。 斜體和粗體不符 合策略。 向上趨勢顯示符合性 得到改進，向下趨勢顯 示符合性的惡化。 傾斜 角度可能提供了控制 措施實施有效性的見 解。任何方向的陡峭斜 符合策略 不需要變更。 不符合策 略應該考 慮修訂（策 略）。 35 線顯示對控制措施的 實施需要做仔細的檢 查，來判斷這種情況的 原因。消極趨勢可能需 要管理層的干預。 積極 趨勢應該進行檢查， 來 識別潛在的最佳實踐。 6. 管理職責 6.1 概

29、述 在信息安全管理體系范圍內， 管理層負責建立 信息安全測量項目，引入不同的利益相關方（見 7.4.3 ），并使用測量結果來作為監(jiān)控和改進信息 安全的輸入。 為此，管理層應： a）為信息安全項目建立一個策略； 36 b）建立信息安全項目的角色和職責； c）確保信息安全項目目標的達成（見 5.1）； d）提供充足的資源來執(zhí)行信息安全測量項目； e）確 保適當的基礎設施到位； f）確 保使用適當的工具執(zhí)行測量過程； g）建 立測量結果的目標； h）確保測量向組織內各利益相關方提供了充足 的信息（正如 7.4.3 節(jié)所定義的），以有效監(jiān) 控各控制措施的有效性，并 / 或識別整體控制 措施架構的缺陷；

30、 管理層應通過適當分配測量相關的角色和責 任，保證測量結果不受到被測量對象所有者的影 響。這可能是通過職責分割， 或如果這不可能， 通 過使用允許獨立檢查的詳細記錄來實現。 6.2 資源管理 37 管理層應該分配和提供資源來支持信息安全 測量的必要功能，例如數據收集、分析、存儲、報 告和分發(fā)。資源分配應包括以下方面的分配： a) 負責信息安全測量項目所有方面的人員； b) 適當的財務支持；以及 c) 適 當的基礎設施支持，例如用于測量過程的 物理基礎設施和工具。 6.3 測量培訓，意識和能力 管理層應保證 : a) 參與測量設計和使用的所有職員在模型和項 目上被充分培訓，并且有適當的能力來履行

31、 他們的角色；以及 b) 使用測量的所有職員理解他們職責中有一部 分是要為過程改進提供建議，這可能包括建 議不同的測量。 38 7. 測度和測量開發(fā) 7.1 概述 本節(jié)描述了為了量化信息安全管理體系、 控制 目標和控制措施的有效性， 并識別針對特定利益相 關方的一套測量， 怎樣來開發(fā)測量。 這些測量將通 過提供評估信息安全管理體系有效性的多種手段， 以及支持組織內信息安全的持續(xù)改進， 進一步加強 信息安全管理體系的性能。 7.2 測量范圍識別 測量開發(fā)的過程應該被建立和記錄， 包括選擇 用于測量的具體控制措施和控制目標， 識別這些對 象的各種測量屬性，明確測量，并且建立數據收集、 分析、報告的

32、各種過程與工具。 計劃過程應包括識 別財力、人力，以及基礎設施（物理的和工具的） 資源。管理層有責任來提供這些資源， 以保證信息 39 安全測量的成功實施 取決于組織的能力和資源， 組織信息安全測量 活動的最初范圍可能會被限制在管理層給予最高 優(yōu)先級的活動、產品和服務上。隨著時間的推移， 測量活動的最初范圍可以擴大來包括信息安全管 理體系的更多元素。 測量的利益相關方應該被識別并參與定義測 量范圍。測量的利益相關方可能是組織單位內部或 外部的，例如項目經理、 信息系統經理或信息安全 決策者。關于每個控制措施有效性的具體信息被收 集、聚合、分析，并向利益相關方進行展示。 組織應考慮在一段給定時間

33、段內， 對供一個決 策者使用的測量數量進行限制， 以保證基于所收集 信息進行有效改變的能力。 過多的測量可能會削弱 有效集中力量和未來活動優(yōu)先排序的能力。 將被使 用測量的優(yōu)先順序應基于特定組織的準則， 并包括 40 基于風險的考慮 7.3 信息需要識別 每個測量應對應于一個信息需要。 信息需要是 對于哪些需要被測量的表述， 關于 ISMS 過程、控 制目標、控制措施， 以及這些過程、 控制目標、控 制措施的實施。 應該通過執(zhí)行下列活動來識別信息需要： a) 檢查信息安全管理體系及其過程，例如： 1) 組織的信息安全管理體系策略、目標、風 險和安全要求； 2) 法律、法規(guī)和合同的要求； 3)

34、ISO/IEC 27001 標準中所描述的風險評估 和處置過程的結果； 4) 信息安全管理體系的有效性要求； b) 基于準則對所識別的信息需要，排列優(yōu)先次 序，例如： 41 1) 風險處置優(yōu)先次序； 2) 組織的能力和資源； 3) 利害相關方的利益； 4) 信息安全策略； 5) 為滿足法律、法規(guī)和合同要求所需要的信 6) 與測量成本相關的信息的價值； c) 根據已建立的準則，選擇經過優(yōu)先排序的信 息需要；以及 d) 向所有相關的利害相關方，記錄和溝通已選 擇的信息需要 所有適用于信息安全管理體系過程、 控制目標 和控制措施或成組的控制措施的測度， 應該基于已 選擇的信息需要來實施 7.4 對象

35、識別 信息安全測量能在整個背景和信息安全管理 42 體系范圍內， 被用在不同的業(yè)務對象上。 識別用于 測量的對象包括： a) 考慮已建立的測量目標；以及 b) 明確這些對象的關鍵屬性，這些屬性可能會 提供關于控制措施和控制目標有效性及其實 施的相關信息 描述測量對象和相應屬性的數據將被用來作 為單個基本測度的輸入。測量對象包括但不限于： a) 產品和服務； b) 過程； c) 適用的資產，如 ISO/IEC 27001 中所識別的 各種設施、應用程序，以及信息系統； d) 業(yè)務單元； e) 地理位置。 測量對象應該要仔細地選擇， 以確保測量的結 果是有意義的。所選擇的對象應該和選擇的理由一 4

36、3 起被記錄 7.5 測量開發(fā)和選擇 組織應該使用已有的各種資源， 來識別和剪裁 信息安全測度。 每個測量應該被詳細地開發(fā)， 適合每個組織的 需求，并應至少包括： a) 測度識別； b) 測量對象和屬性； c) 基本測度； d) 導出測度； e) 指標； f) 數據收集規(guī)程；以及 g) 數據分析規(guī)程。 信息安全測量的詳細模板范例在附錄 A 中提 供。ISO/IEC 27001 控制措施子集的測量范例參見 44 附錄 B 7.5.1 測量方法 對每個基本測度應識別其測量方法。 通過將屬 性轉換為基本測度，測量方法被用來量化測量對 象。 測量方法可能是主觀的或客觀的。 主觀方法含 有對人的判斷的量

37、化， 而客觀方法是基于數字規(guī)則 的量化，如可能通過手工或自動化手段實施的計 算。 通過應用適當的標度， 測量方法將屬性量化成 數值。每個標度使用一個測量單位。 只有以同種測 量單位表達的量才能直接進行比較。 不管是手工（例如，問詢、觀察、自評估）還 是自動化測量方法都需要獨立的驗證， 以建立每個 屬性值的置信度。 對每個測量方法， 驗證準則應被 45 定義和記錄。 應考慮測量方法的精度，相關的錯誤應記錄。 測量方法應在一段時間保持一致， 這樣在不同 時間采取的基本測度是可比較的， 并且基于這些基 本測度的導出測度和指標也同樣是可比較的。 7.5.2 測量函數 對每個導出測度，應該定義一個使用兩

38、個或兩 個以上基本測度的測量函數。 在某些情況下， 基本 測度能與導出測度一起作為分析模型的輸入。 測量函數（如，公式）可能會包括多種不同的 技術，如對所有基本測度取平均值， 對基本測度應 用權重，或是在將基本測度聚合成導出測度前， 將 它們賦予定性值。測量函數可能會使用不同標度來 組合各基本測度，如百分比和定性評估結果。 應該定義一個計算每個測度的公式并記錄。 應 46 考慮由于基本測度的組合而導致的累積性錯誤。 7.5.3 利益相關方 對于每個測量，適當的利益相關方都應被識別 和記錄。利益相關方可能包括： a) 所有者人員或組織單位，它們擁有被用 來創(chuàng)建基本測度的測量對象和屬性的相關信 息

39、，并負責測量； b) 顧客人員或組織單位，為了開展他們的 業(yè)務功能而申請和需要測量； c) 收集者人員或組織單位，負責收集、記 錄和存儲數據； d) 溝通者人員或組織單位，負責分析數據 和報告結果；以及 e) 評審者人員或組織單位，負責對測量評 價準則是否適當作評審，以驗證控制措施和 信息安全管理體系過程的有效性。 47 7.5.4 屬性選擇和評審 一個測量對象可能有多個信息安全屬性。 一個 基本測度可能會選擇使用一個或多個屬性。 應該對屬性進行證實，以確保： a) 合適的屬性被選擇用來測量；以及 b) 適當數量的屬性已經被選擇，以保證提供一 個充分的集合來支持一個有效的測量。 所選擇屬性的特

40、征決定著何種測量方法將被 使用來確定基本測度(例如，定量或定性的)。 應僅有那些與相應基本測度有關的屬性被選 擇。盡管屬性選擇應考慮獲取測量屬性的困難程 度，它不應該只從那些易于獲取的數據， 或是易于 測量的屬性中選擇。 7.5.5 分析模型 對每個測度來說， 應該定義一個分析模型， 目 48 的是將一個或多個導出測度轉換為一個指標。 分析模型以某種方式組合各測度并產生輸出， 這個輸出與信息安全管理體系策略有關， 并對信息 安全管理體系利益相關方有意義。 注意，當定義分析模型時， 應用在指標上的決 策準則也應該被考慮。 有時分析模型可以簡單到只是將單個導出測 度轉換為一個指標。 7.5.6 指

41、標和報告格式 通過聚合各導出測度并基于決策準則對它們 進行解釋，將產生指標。對將向顧客報告的每個指 標，應該定義并記錄一個報告格式。 報告格式將可視地描述測度并提供一個指標 的言語解釋。 報告格式應該被定制， 以滿足顧客的 49 信息需要 7.5.7 決策準則 每個指標對應的決策準則， 應該基于信息安全 目標來定義和記錄，從而為客戶提供可行動的指 南。該指南應給出對測量進展的期望以及基于指標 的啟動改進措施的閾值。決策準則建立了一個目 的，由此成功可以被測量， 決策準則也為解釋指標 與目的的接近程度提供了指導。 建立決策準則和目 的的機制與從測度得到的指標是有區(qū)別的。 需要對與信息安全管理體系

42、過程和控制措施 性能相關的各項目設立目的，以及目標的達成情 況，并最終對評價信息安全管理體系和控制措施的 有效性。 組織可能會決定等到初始數據收集到后， 再為 指標設置目的。一旦基于初始數據的糾正措施被識 別，就能定義適當的決策準則和實施里程碑， 它們 對特定的信息安全管理體系是現實的。 如果不能建 50 立決策準則，管理層應評價被測量的對象和相應的 測度是否為組織提供了所期望的價值。 如果與這些測度開發(fā)或選擇相關的歷史數據 存在，將有助于決策準則的建立。 過去所觀察到的 趨勢將提供對以前存在的性能范圍的見解， 并為創(chuàng) 建現實的決策準則提供指導。 決策準則可以被計算 或基于一個對期望行為的概念

43、性理解。 決策準則可 以從歷史數據、 計劃和啟發(fā)式方法導出， 或者從統 計控制界限或統計置信界限計算得到。 7.6 測度證實 管理層應對所開發(fā)的測度進行證實， 以保證所 開發(fā)測度是有用并有成本效益的。 下面這些準則可 能與決定測度是否有用并有成本效益相關： a) 戰(zhàn)略的：與組織的業(yè)務目標和利益相關方的 需求一致； b) 定 量的：提供客觀和經驗數據； 51 c) 解釋性的：能容納主觀輸入來幫助對數據的 解釋； d) 具有成本效益：數據收集的成本應與被測量 價值相關的潛在損失相平衡； e) 可驗證：第三方評審者應能評估數據，并能 重現結果； f) 有意義：數據應提供與一段時間內所應用控 制措施和

44、控制目標相關的有意義信息，使得 能夠對變更影響或結果一致性進行評估； g) 實用：結果應支持使命、財務和運行的決策； h) 不可分： 數據應該在可能的最細、不可分解 的級別下被收集； i) 良好定義：在 7.5中所描述的詳細模板中記錄； 以及 j) 可重復：測量應產生可比較和可再生的結果。 7.7 數據收集、分析和報告 52 應該建立或剪裁測量數據收集、 分析和報告的 過程，如果存在這樣的過程。 如果需要， 還應該建 立提供支持的工具和技術。 這些過程、 工具和技術 可以滿足以下測量相關的活動： a) 數據收集，包括存儲和驗證。規(guī)程應詳細說 明數據是如何被收集和區(qū)分的，以及這些數 據將怎樣和在

45、哪里被存儲。數據驗證可能會 通過審計來完成。自動化工具能被用來支持 這些規(guī)程； b) 數據分析，以及測量的報告。規(guī)程應詳細說 明數據收集方法、頻率、格式，以及報告信 息產品的方法。應該識別哪些工具可以被用 來執(zhí)行數據分析。 報告格式的范例包括： a) 通過整合高級別指標提供戰(zhàn)略信息的記分 卡； 53 b）執(zhí)行和運行的儀表板，不是集中在戰(zhàn)略目標， 而更關注特定控制措施和過程的有效性。儀 表板可能會使用一系列的顏色來溝通結果 例如，從黑色（ 0）到淺綠色（ 100） 但是請注意 5.3.3 中表 3 有關使用顏色的說 明； c）報告，從簡單和統計性的，比如一個給定時 間段的測度列表，到更為復雜的交

46、叉表，這 種交叉表包括內嵌組、滾動總結、動態(tài)透視 或鏈接。報告最好被用在用戶需要以一種易 讀的格式看原始數據時；以及 d）量表來表示動態(tài)的數據值包括警報、附加的 圖形元素，以及端點的標記。 7.8 記錄 測量的完整方法應被記錄在一個實施計劃 54 中。實施計劃應至少包括以下信息： a) 測量的意圖； b) 將 被測量的控制措施和控制目標； c) 測量對象； d) 將被收集和使用的測度； e) 數據收集過程； f) 數據分析和報告過程，包括報告格式； g) 利益相關方的角色和責任；以及 h) 測度評審的周期，以確保測量與信息安全管 理體系和業(yè)務目標保持同步。 8. 測量運行 8.1 概述 信息安

47、全測量的運行包括收集、存儲和驗證 被用來創(chuàng)建信息安全測度的數據。 它也包括一些必 要的活動，這些活動保證所收集的測量被用來獲得 對信息安全管理體系有效性的理解， 以及識別適當 55 的改進措施。本階段包括以下活動： a) 將測量規(guī)程整合進整個信息安全管理體系的 運行；以及 b) 收集、存儲和驗證數據。 8.2 規(guī)程整合 信息安全測量項目應被信息安全管理體系充 分地整合和使用，包括： a) 在信息安全管理體系背景下，定義和記錄關 于開發(fā)、實施和維護信息安全測量的角色和 職責； b) 數據生成與收集，包括變更現有過程以容納 數據生成與收集活動； c) 向利益相關方溝通數據收集活動的改變，以 保證數

48、據收集人的能力，包括他們對所要求 數據類型、數據收集工具、數據收集規(guī)程的 理解。增強信息收集人的能力將有助于提高 56 數據收集質量，以及測量對組織的用處； d) 數據分析和報告應被整合進相關過程，以保 證這些過程的常規(guī)性能； e) 策略和規(guī)程，它們定義了組織內測量的使用， 測量信息的發(fā)布，以及信息安全測量項目的 審計和評審； f) 一個監(jiān)控測量的過程，以評價測量的使用情 況； g) 一個去除測量和增加新測量的過程，以確保 測量隨組織不斷演進；以及 h) 一個確定用于趨勢分析的歷史數據有用期的 過程。 8.3 數據收集和處理 數據收集過程包括： a) 所需要的數據應根據實施計劃中定義的過 程，

49、使用指定的測量方法按照常規(guī)間隔來收 57 集； b) 記錄數據收集，包括： 1) 數據收集的日期、時間、地點； 2) 信息收集者； 3) 信息所有者； 4) 數據收據過程中發(fā)生的任何問題；以及 5) 數據驗證和測量證實的信息；以及 c) 根據屬性證實準則，驗證所收集的數據 應對所收集數據進行整理，并以有助于數據 分析和報告的格式來存儲。 所存儲的數據應帶有必 要的背景信息。 9. 測量分析和報告 9.1 概述 測量應該被分析和報告。這個階段包括以下 活動： a) 分析數據和產生測量結果；以及 58 b）向利益相關方溝通測量結果 9.2 分析數據和產生測量結果 收集的數據應該基于決策準則被分析和

50、解 釋。數據在分析之前可以被聚合、 轉換或再次編碼， 在數據處理期間將產生計劃中的指標。 很多種分析 技術能被應用。分析的深度應該根據數據的自身特 性和信息需要來確定。執(zhí)行統計分析的指南參見 ISO TR 10017:2003 。 數據分析的結果應該被解釋。分析結果的人 （溝通者） 應該能基于結果給出一些初始結論。 但 是溝通者可能不會直接涉及技術和管理過程， 這些 結論需要由其他利益相關方進行評審。 所有的解釋 都應該考慮測度的背景。 數據分析應識別實際性能和期望性能間的差 距。這種分析將指出可能需要改進的相關測量對 象、控制目標及控制措施，以改進信息安全性能。 59 對那些顯示出不符合或性

51、能差的指標， 應該識別其 原因，可能包括以下幾類： a) 實施失敗造成的不符合被期望實施的控 制措施或信息安全管理體系過程，或者沒有 被實施，或者在實施、運行和管理上不充分； b) 無 效控制措施或信息安全管理體系過程 1) 控制措施或信息安全管理體系過程已被 正常實施、運行和管理，但不能應對所預計的 威脅； 2) 控制措施或信息安全管理體系過程已被 實施，但沒有被正常運行和管理。 c) 風險處置失敗：控制措施或信息安全管理體 系過程已被正常實施、運行和管理，但可以 被威脅繞過；以及 d) 風險評估失?。?1) 控制措施或信息安全管理體系過程已被正 60 常實施、運行和管理，但不能應對實際威

52、脅，因為威脅范圍太大； 2) 控制措施或信息安全管理體系過程未被實 施，因為風險評估過程中忽視了一些威脅； 以及 3) 控制措施或信息安全管理體系過程已被實 施但無效，因為風險評估過程中忽視了一 些威脅。 數據分析結果、指標、與決策準則相關的解 釋，以及相關的支持信息構成了測量結果。 總結測量結果的報告，應根據實施計劃，使 用適當的報告格式(見 7.7)來準備。 分析的結論應被利益相關方評審，以保證對 數據的適當解釋。 數據分析的結果應被記錄， 以便 向各利益相關方進行溝通 9.3 溝通結果 61 負責分析數據和報告結果的人員或組織單位 溝通者)應該決定如何溝通信息安全測量結果， 包括： a)

53、 哪些測度在內部和外部報告； b) 針對各利益相關方和興趣相關方的測度列 表； c) 報告結構，被提供的特定測度，以及展示類 型都應被剪裁以適合各個組的需求；以及 d) 各利益相關方之間交換反饋意見的方式，用 來評價信息產品和測量過程； 測量結果應該與一系列的內部利益相關方溝 通，包括但不限于： a) 負責風險管理過程的人員，特別是在發(fā)現風 險評估或風險處置失敗之處； b) 管理層，為了識別有待改進之處； c) 提供任何反饋的信息擁有者。 62 測量可能需要發(fā)布給外部利益相關方，包括 上級單位、股東、顧客和供應商。 外部報告不應像 內部報告那樣詳細，應僅包含適合外部使用的數 據。外部報告在發(fā)布

54、之前， 應由組織內的管理層和 其他適當方進行評審。 10. 測量項目評價和改進 10.1 概述 測量項目應該被評價和改進，以確保測量項 目： a) 以一種有用和有效的方式，持續(xù)滿足組織對 信息安全測量的要求； b) 是否按計劃執(zhí)行； c) 符合對威脅和脆弱性的變更；以及 d) 符合對環(huán)境的變更(例如：需求、法律和技 術)。 證實的結果應能提供清晰的指示，關于對當 63 前信息安全測量項目滿足組織要求的程度， 以及是 否需要對測量項目作改進。 結果的實用性和獲取它們的成本應依據測量 項目的目標進行評價。 評價的結果應該有助于決定 是否當前信息安全測量項目滿足組織要求的程度， 或者是否需要作改進。

55、 組織應明確評價的頻率，計劃周期性修訂的 時間段，并建立做這些可能修訂的機制。 下面的步驟應被遵循： a） 識別測量項目的評價準則（見 10.2 ）； b） 監(jiān)控、評審和評價測量（見 10.3 ）；以及 c）實施改進（見 10.4 ）。 10.2 識別測量項目的評價準則 在初步實施后，組織評價測量結果的實用性 和有效性， 以及獲取測量結果所需要的投入。 測量 結果能被評價前就應該建立評價準則。 評價的目的 64 是評估修改或改進測量項目的必要性。 除了內部信 息安全管理體系審計外， 還可以進行外部審計來提 供獨立的第三方評估。 組織應為審計確定適當的時 間，以保證它們不會嚴重地干擾運行。 當有

56、如下最有可能的條件出現時，組織應該 再次評價并改進當前的信息安全測量項目： a) 業(yè)務目標和要求的變更； b) 威脅環(huán)境的變更； c) 風險的變更； d) 用于測量的更完善或合適數據的增多； e) 在組織的背景下，被用來測量的測量對象和 屬性的變更；以及 f) 法律、法規(guī)和其它外部要求的變更。 以下準則可以用來評價測量結果： a) 測量結果對于改進信息安全是有用的； b) 測量結果符合信息需要 65 如果收集的測量結果在整體上對于改進組織的 信息安全是有用的，那么測量項目是有效的。 10.3 監(jiān)控、評審與評價測量項目 在依據 10.2的準則初步實施后，以及在基礎系 統或相應業(yè)務目標發(fā)生重大變更

57、時， 包括所有的測 度、指標、決策準則和測量結果在內的測量項目， 應該被監(jiān)控、評審和評價。潛在的改進可以被識別， 包括： a) 按照已建立的準則修正測度； b) 去除或替換不再適合的測度、指標和決策準 則； c) 確保分配充足的資源來支持測量項目； d) 識別測量項目所需的改進，并計劃實施； e) 記錄管理層的決策，以允許以后各測量的比 較和趨勢分析。 監(jiān)控、評審和評價測量項目的結果應該向管理 66 層溝通，以便對必要的改進和測度今后的使用做出 決策。管理層的決策和測量項目改進的結果應該向 合適的利益相關者溝通。 利益相關者應該根據測度對其的有用性給出反 饋，這種反饋將為信息安全測量項目的評價

58、提供輸 入。 10.4 實施改進 已識別的改進應被管理層正式記錄和批準。 管理層應保證按計劃實施改進。 組織可以使用項目管理技術來完成改進。 67 附錄 A（資料性附錄） 信息安全測量模板 附錄A提供了信息安全測量的模板， 包含了 5.3 節(jié)描述的需要在 7.5 節(jié)識別的所有組件。組織可以 根據自己的需求修改該模板。 測度識別 測度名 測度名 數字識別碼 特定組織的唯一識別碼。 控制目標 待測量的控制目標（計劃的或實施 的）。 控制措施（ 1） 可選的：待測量的控制措施 （計劃 的或實施的）。 控制措施 （2） 可選的：按相同測度分組的進一步 控制措施（計劃的或實施的） 。 測量目的 描述引入測度的原因。 評審者 人員或組織單位，評審測量評價準 則是否適合于證實控制措施和信 息安全管理體系的有效性。 測量對象和屬性 測量對象 待測量的并可通過屬性的可測量 性給出特征的對象。對象可以包括 過程、系統或系統組件。 68 屬性 測量對象的屬性或特征， 能通過手 工或自