版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
ICS35.030CCSL80中華人民共和國國家標(biāo)準(zhǔn)GB/T31497—2024/ISO/IEC27004:2016代替GB/T31497—2015信息技術(shù)安全技術(shù)信息安全管理(ISO/IEC27004:2016,IDT)國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會ⅠGB/T31497—2024/ISO/IEC27004:2016前言 Ⅲ引言 Ⅳ1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14結(jié)構(gòu)和概述 15基本原理 25.1測量的必要性 25.2滿足GB/T22080的要求 25.3結(jié)果的有效性 35.4益處 36特征 36.1概述 36.2監(jiān)視內(nèi)容 46.3測量內(nèi)容 46.4監(jiān)視、測量、分析和評價的時間 56.5監(jiān)視、測量、分析和評價的執(zhí)行者 57測度的類型 67.1概述 67.2實施進(jìn)度的測度 67.3有效性測度 68過程 78.1概述 78.2識別信息需求 88.3建立和維護(hù)測度 88.4建立規(guī)程 118.5監(jiān)視和測量 118.6分析結(jié)果 118.7評價信息安全績效和ISMS有效性 128.8評審和改進(jìn)監(jiān)視、測量、分析和評價過程 128.9保留和溝通文檔化信息 12附錄A(資料性)信息安全測量模型 13附錄B(資料性)測量構(gòu)造示例 15附錄C(資料性)自由文本測量構(gòu)造示例 42附錄NA(資料性)GB/T22081—2016與ISO/IEC27002:2022控制的對應(yīng)關(guān)系 43參考文獻(xiàn) 49ⅢGB/T31497—2024/ISO/IEC27004:2016本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T31497—2015《信息技術(shù)安全技術(shù)信息安全管理測量》,與GB/T31497—2015相比,除結(jié)構(gòu)調(diào)整和編輯性改動外,主要技術(shù)變化如下:a)更改了“范圍”的表述(見第1章,2015年版的第1章);b)更改了第5章的標(biāo)題和內(nèi)容,標(biāo)題由“信息安全測量概述”修改為“基本原理”,刪掉了“信息安全測量模型”相關(guān)內(nèi)容(見第5章,2015年版的第5章);c)刪除了“管理職責(zé)”(見2015年版的第6章);d)增加了“特征”(見第6章);第7章,2015年版的第5章);f)更改了信息安全管理監(jiān)視、測量、分析和評價的過程(見第8章,2015年版的第8章、第9章和第10章)。本文件等同采用ISO/IEC27004:2016《信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和本文件做了下列最小限度的編輯性改動:a)增加了有利于理解本文件的注(見第4章,5.2);b)增加了資料性附錄NA,給出了GB/T22081—2016與ISO/IEC27002:2022中控制的對應(yīng)關(guān)系(見附錄NA)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位:中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國合格評定國家認(rèn)可中心、北京賽西認(rèn)證有限責(zé)任公司、杭州安恒信息技術(shù)股份有限公司、北京郵電大學(xué)、上海三零衛(wèi)士信息安全有限公司、道普信息技術(shù)有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、北京航空航天大學(xué)、華為技術(shù)有限公司、中國科學(xué)院信息工程研究所、西安電子科技大學(xué)、重慶郵電大學(xué)、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國家工業(yè)信息安全發(fā)展研究中心、北京中關(guān)村實驗室、上海觀安信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、山東正中信息技術(shù)股份有限公司、重慶市信息通信咨詢設(shè)計院有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、西安交大捷普網(wǎng)絡(luò)技術(shù)有限公司、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、廣東省信息安全測評中心、長揚(yáng)科技(北京)股份有限公司、北京源堡科技有限公司、云智慧(北京)科技有限公司、遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、新華三技術(shù)有限公司。本文件主要起草人:上官曉麗、王惠蒞、付志高陳紀(jì)旸。本文件及其所代替文件的歷次版本發(fā)布情況為:—2015年首次發(fā)布為GB/T31497—2015;—本次為第一次修訂。ⅣGB/T31497—2024/ISO/IEC27004:2016引言本文件旨在幫助組織評價信息安全績效和信息安全管理體系的有效性,以滿足GB/T22080—信息安全管理體系(ISMS)的監(jiān)視和測量結(jié)果會對ISMS的治理、管理、有效運(yùn)行和持續(xù)改進(jìn)有關(guān)的決策提供支持。與其余ISO/IEC27000系列標(biāo)準(zhǔn)一樣,組織根據(jù)自身實際情況和需要考慮、解釋和調(diào)整本文件的內(nèi)容。本文件中的概念和方法是廣泛適用的,但任何特定組織所需的具體測度取決于在實踐中差異很大的環(huán)境因素(如其規(guī)模、行業(yè)、成熟度、信息安全風(fēng)險、合規(guī)義務(wù)和管理風(fēng)格)。依據(jù)GB/T22080實施ISMS的組織使用本文件。但本文件沒有為符合GB/T22080的ISMS提出任何新的要求,也沒有要求組織一定要遵守本文件提出的指南。按照GB/T22080—2016中9.1的要求對標(biāo)準(zhǔn)文本進(jìn)行了重新編寫,前言中僅列出了主要的技術(shù)變動,詳細(xì)變動見本文件具體內(nèi)容。1GB/T31497—2024/ISO/IEC27004:2016信息技術(shù)安全技術(shù)信息安全管理1范圍本文件提供了旨在協(xié)助組織評價信息安全績效和ISMS(信息安全管理體系)有效性,以滿足GB/T22080—2016中9.1要求的指南。本文件規(guī)定了:a)信息安全績效的監(jiān)視和測量;b)ISMS(包括其過程和控制)有效性的監(jiān)視和測量;c)監(jiān)視和測量結(jié)果的分析和評價。本文件適用于各種類型和規(guī)模的組織。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2013,IDT)ISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(Informationtechnolo-gy—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)注:GB/T29246—2023信息安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:2018,IDT)3術(shù)語和定義ISO/IEC27000界定的術(shù)語和定義適用于本文件。4結(jié)構(gòu)和概述本文件的結(jié)構(gòu)如下:a)基本原理(第5章);b)特征(第6章);c)測度的類型(第7章);d)過程(第8章)。這幾章的排序旨在幫助理解并與GB/T22080—2016中9.1的要求形成如圖1所示的對應(yīng)關(guān)系。組織首先識別滿足要求所需的信息(稱之為“信息需求”),然后確定用于滿足信息需求的測度。監(jiān)視和測量過程產(chǎn)生了隨后要被分析的數(shù)據(jù),用分析結(jié)果來評價是否滿足組織的信息需求。注:測量是確定一個值的過程,測度是作為測量結(jié)果賦值的變量。此外,附錄A描述了信息安全測量模型,包括測量模型的組成部分與GB/T22080—2016中9.1的要求之間的關(guān)系。2GB/T31497—2024/ISO/IEC27004:2016ISMS過程和信息安全績效領(lǐng)域提供實際指導(dǎo)。附錄B中的示例使用了表1中給出的建議模板,附件C則提供了使用另一種基于自由文本格式的示例。圖1與GB/T22080—2016,9.1的對應(yīng)5基本原理5.1測量的必要性ISMS的總體目標(biāo)是在其范圍內(nèi)保持信息的保密性、完整性和可用性,通過ISMS活動制定實現(xiàn)該目標(biāo)的計劃以及這些計劃的實施。但是,僅這些活動本身并不能保證完成這些計劃就能達(dá)到信息安全目標(biāo)。因此,在GB/T22080規(guī)定的ISMS中,有多處要求組織評價計劃和活動是否確保實現(xiàn)了信息安全目標(biāo)。5.2滿足GB/T22080的要求GB/T22080—2016的9.1要求組織評價信息安全績效和ISMS有效性,在第7章給出了能夠滿足這些要求的測度類型。GB/T22080—2016的9.1還要求組織確定:a)需要被監(jiān)視和測量的內(nèi)容,包括信息安全過程和控制;b)適用的監(jiān)視、測量、分析和評價的方法,以確保得到有效的結(jié)果;注:所選的方法產(chǎn)生可比較和可再現(xiàn)的有效結(jié)果。c)何時應(yīng)執(zhí)行監(jiān)視和測量;d)誰應(yīng)監(jiān)視和測量;e)何時應(yīng)分析和評價監(jiān)視和測量的結(jié)果;f)誰應(yīng)分析和評價這些結(jié)果。圖1提供了本文件與這些要求的對應(yīng)。最后,GB/T22080—2016的9.1要求組織保留適當(dāng)?shù)奈募鳛楸O(jiān)視和測量結(jié)果的證據(jù)(見8.9)。3GB/T31497—2024/ISO/IEC27004:2016GB/T22080—2016的9.1還指出,所選擇的方法宜產(chǎn)生可比較和可再現(xiàn)的結(jié)果,以便確認(rèn)它們是有效的(見6.4)。5.3結(jié)果的有效性GB/T22080—2016的9.1b)要求組織選擇測量、監(jiān)視、分析和評價的方法,以確保有效的結(jié)果。該條款指出:為了獲得有效的結(jié)果,結(jié)果宜是可比較的和可再現(xiàn)的。為實現(xiàn)這一目標(biāo),組織宜考慮以下幾個方面來收集、分析和報告測度。a)為了從基于不同時間點的監(jiān)視中獲得測度的可比較結(jié)果,確保ISMS的范圍及其環(huán)境沒有變化是很重要的。b)測量和監(jiān)視的方法或技術(shù)發(fā)生改變時,一般不會產(chǎn)生可比較的結(jié)果。為了保持可比性,可以要求進(jìn)行特定的測試,比如同時分別使用原方法和變化后的方法。c)如果測量和監(jiān)視所用方法或技術(shù)包括主觀要素,則需要采取特定的步驟以獲得可再現(xiàn)的結(jié)果。例如,宜對照設(shè)定的準(zhǔn)則來評價問卷調(diào)查結(jié)果。d)在某些情況下,只能在特定情況下才會產(chǎn)生再現(xiàn)性。例如,有些情況下,結(jié)果是不可再現(xiàn)的,但在將其匯總后,結(jié)果是有效的。5.4益處實現(xiàn)ISMS過程與控制并確保信息安全實施,能產(chǎn)生大量的組織效益和經(jīng)濟(jì)效益。主要效益可能包括如下內(nèi)容。a)強(qiáng)化責(zé)任:監(jiān)視、測量、分析和評價能通過幫助識別未正確實施的、未實施的或無效的特定信息安全過程或控制,來強(qiáng)化對信息安全的責(zé)任。b)改進(jìn)信息安全績效和ISMS過程:監(jiān)視、測量、分析和評價能使組織量化其在ISMS范圍內(nèi)保護(hù)信息方面的改進(jìn),并證實其在實現(xiàn)組織信息安全目標(biāo)方面可量化的進(jìn)展。GB/T22080(及其他標(biāo)準(zhǔn))以及適用的法律、法規(guī)和規(guī)章制度。d)支持決策:監(jiān)視、測量、分析和評價能通過向風(fēng)險管理過程提供可量化的信息來支持風(fēng)險指引決策。它能使組織衡量以往的和當(dāng)前的信息安全投資的成敗,并能提供可量化的數(shù)據(jù),以支持未來投資的資源分配。6特征6.1概述監(jiān)視和測量是評價信息安全績效和ISMS有效性的第一步。面對大量信息安全相關(guān)實體的各種各樣的可測量屬性,并不是非常明確宜測量哪些屬性。這是一個重要的問題,因為測量太多的或錯誤的屬性是不切實際的、代價高昂的和適得其反的。對眾多的屬性進(jìn)行測量、分析和報告,除了會產(chǎn)生明顯的成本之外,倘若沒有合適的測度,還很有可能出現(xiàn)關(guān)鍵問題被淹沒于大量信息中或者完全被遺漏掉。為了確定要監(jiān)視和測量的內(nèi)容,組織宜首先考慮在評價信息安全實施和ISMS有效性方面希望實現(xiàn)的目標(biāo),這可使組織確定其信息需求。組織接下來宜決定需要采取哪些測度來支持每一種不同的信息需求,以及需要哪些數(shù)據(jù)以生成所需的測度。因此,測量宜始終與組織的信息需求相對應(yīng)。4GB/T31497—2024/ISO/IEC27004:20166.2監(jiān)視內(nèi)容監(jiān)視是確定系統(tǒng)、過程或活動的狀態(tài),以滿足特定的信息需求。能被監(jiān)視的系統(tǒng)、過程和活動包括但不限于:a)ISMS過程的實施;b)事件管理;c)脆弱性管理;d)配置管理;e)安全意識和培訓(xùn);f)訪問控制、防火墻和其他事件日志;g)審核;h)風(fēng)險評估過程;i)風(fēng)險處置過程;j)第三方風(fēng)險管理;k)業(yè)務(wù)連續(xù)性管理;l)物理和環(huán)境安全管理;m)系統(tǒng)監(jiān)視。這些監(jiān)視活動產(chǎn)生的數(shù)據(jù)(事件日志、用戶訪談、培訓(xùn)統(tǒng)計、事件信息等),能用于支持其他測度。在定義被測量的屬性的過程中,能要求實施額外的監(jiān)視,以提供支持性信息。需要注意的是,監(jiān)視能使組織確定風(fēng)險是否已經(jīng)發(fā)生,從而提示組織能采取什么措施來處置該風(fēng)險。還需要注意的是,某些類型的信息安全控制具有明確的監(jiān)視目的。在使用這些控制的輸出來支持測量時,組織宜確保測量過程考慮了所用的數(shù)據(jù)是在采取任何處置措施之前還是之后獲得的。6.3測量內(nèi)容測量是指為確定實施進(jìn)度或有效性的值、狀態(tài)或趨勢的活動,以幫助識別潛在的改進(jìn)需求。測量能應(yīng)用于任何ISMS過程、活動、控制和控制組。例如,GB/T22080—2016的7.2c)要求組織適用時采取行動以獲得必要的能力。組織能確定是否所有需要培訓(xùn)的人員都已經(jīng)接受了培訓(xùn),以及培訓(xùn)是否按計劃進(jìn)行,這能用接受過培訓(xùn)的人數(shù)或百分比來測量。組織還能確定接受過培訓(xùn)的人員是否實際獲得了并持續(xù)擁有必要的能力(能用培訓(xùn)后的問卷來測量)。關(guān)于ISMS過程,組織宜注意到GB/T22080中有一些條款明確要求確定某些活動的有效性。例審,組織首先宜根據(jù)某種規(guī)定的測度形式來確定糾正措施的有效性。為了做到這一點,組織宜首先定義適當(dāng)?shù)男畔⑿枨蠛湍軡M足信息需求的一個或多個測度。第8章中闡述了這一過程??勺鳛闇y量對象的ISMS過程和活動包括:a)規(guī)劃;b)領(lǐng)導(dǎo);c)風(fēng)險管理;d)方針管理;e)資源管理;f)溝通;5GB/T31497—2024/ISO/IEC27004:2016g)管理評審;h)文件化;i)審核。關(guān)于信息安全實施,最明顯的候選對象是組織的信息安全控制或這類控制的組合(甚至是整個風(fēng)險處置計劃)。這些控制是通過風(fēng)險處置過程確定的并在GB/T22080中被稱為必要的控制。它們能是GB/T22080—2016附錄A中的控制、特定行業(yè)的控制(例如ISO/IEC27010等標(biāo)準(zhǔn)所規(guī)定的)、其他標(biāo)準(zhǔn)規(guī)定的控制和由組織設(shè)計的控制。由于控制的目的是改變風(fēng)險,因此有很多能被測量的屬性,例如:j)控制措施降低事件發(fā)生的可能性的程度;k)控制措施減輕事件后果的程度;l)控制措施在發(fā)生故障前對事態(tài)進(jìn)行處理的頻次;m)控制措施在事態(tài)發(fā)生后多長時間內(nèi)檢測到事態(tài)。6.4監(jiān)視、測量、分析和評價的時間組織宜根據(jù)單個信息需求、所需的測度和支持單個測度的全生命周期的數(shù)據(jù),定義實施監(jiān)視、測量、分析和評價的具體時間表。對支持測度所需數(shù)據(jù)的收集頻次,可高于分析測度和向利益相關(guān)方報告該測度的頻次。例如,雖然能連續(xù)收集安全事件的數(shù)據(jù),但向外部利益相關(guān)方報告此類數(shù)據(jù)宜基于特定要求,如嚴(yán)重性(如發(fā)生應(yīng)報告的違規(guī)時,可能需要立即告知)或累計值(如發(fā)現(xiàn)和阻止企圖入侵的情況)。組織宜注意,為了滿足某些信息需求,在進(jìn)行分析和評價之前需要收集適當(dāng)數(shù)量的數(shù)據(jù),為評估和比較提供重要基礎(chǔ)(例如:進(jìn)行統(tǒng)計分析時)。此外,監(jiān)視、測量、分析和評價的過程可能需要測試和微調(diào),然后所形成的測度才可能對組織有用。因此,組織宜確定任何微調(diào)的時限(以便持續(xù)推進(jìn)真正的目標(biāo):測量ISMS),以及在開始分析和評價之前,監(jiān)視和收集宜持續(xù)多長時間。組織可能在更新其測量活動時調(diào)整其測量的時間表,以應(yīng)對8.2中列出的具體環(huán)境變化。例如,如果組織正在從手動數(shù)據(jù)源過渡到自動數(shù)據(jù)源,則可能需要改變收集的頻率。此外,需要一個基線來比較在不同時間點實施的、可能使用不同方法但都是為了滿足同一信息需求的兩組測度。組織能選擇將其監(jiān)視、測量、分析和評價活動寫到一個測量方案中。但是,GB/T22080沒有要求組織要有這樣一個方案。6.5監(jiān)視、測量、分析和評價的執(zhí)行者組織(考慮到GB/T22080—2016中5.3和9.1的要求)宜規(guī)定負(fù)責(zé)實施監(jiān)視、測量、分析和評價的個人或角色。監(jiān)視、測量、分析和評價可以使用手動或自動的方式進(jìn)行。無論測量是手動還是自動實施,組織都能規(guī)定以下與測量相關(guān)的角色和職責(zé)。a)測量的客戶:要求或需要關(guān)于ISMS、控制或控制組的有效性相關(guān)的信息的管理層和其他利益相關(guān)方。b)測量策劃者:將可測量屬性關(guān)聯(lián)到特定信息需求并完成測量構(gòu)造的人或部門。c)測量評審者:確認(rèn)已制定的測量構(gòu)造是否適合于評價信息安全績效和ISMS、控制或控制組有效性的人或部門。d)信息所有者:擁有為測度提供輸入信息的人或部門。該人員負(fù)責(zé)提供數(shù)據(jù),并常常(但并不一定)負(fù)責(zé)實施測量活動。e)信息收集者:負(fù)責(zé)收集、記錄和存儲數(shù)據(jù)的人員或部門。f)信息分析者:負(fù)責(zé)分析數(shù)據(jù)的人員或部門。g)信息溝通者:負(fù)責(zé)傳達(dá)分析結(jié)果的人或部門。6GB/T31497—2024/ISO/IEC27004:2016組織能對其中的某些角色,或者是所有的角色進(jìn)行合并。在整個過程中履行不同角色和責(zé)任的個人,可能需要具有不同的技能集以及相關(guān)的意識和培訓(xùn)。7測度的類型7.1概述為滿足本文件的目的,組織能通過以下兩種測度方法來測量所規(guī)劃活動的實施進(jìn)度及結(jié)果的有效性。a)實施進(jìn)度的測度:該測度通過所規(guī)劃活動的特征,如人數(shù)、里程碑完成情況或信息安全控制實施的程度來表示所規(guī)劃的結(jié)果。b)有效性測度:該測度表示了所規(guī)劃活動對組織信息安全目標(biāo)的影響。由于每個組織都有自身具體的信息安全目標(biāo)、策略和要求,因此這些測度本質(zhì)上是特定于具體組織的。需要注意的是,術(shù)語“實施進(jìn)度的測度”和“有效性測度”不宜與GB/T22080—2016中9.1評價信息安全績效和ISMS有效性的要求相混淆。7.2實施進(jìn)度的測度實施進(jìn)度測度能用來展示ISMS過程、相關(guān)規(guī)程及特定安全控制的實施進(jìn)展情況。鑒于有效性關(guān)注的是所規(guī)劃活動已經(jīng)實現(xiàn)的程度和預(yù)期的結(jié)果,實施進(jìn)度測度宜關(guān)注的是已經(jīng)實施的信息安全過程和控制的進(jìn)展情況。這些方法有助于確定ISMS的過程和信息安全控制是否已按要求實施。實施進(jìn)度測度使用的數(shù)據(jù)能從會議記錄、考勤記錄、項目計劃、自動掃描工具、其他常用的記錄以及記錄和監(jiān)控ISMS活動的手段中獲得。宜盡可能以自動化方式完成測度的收集、分析和報告,減少所需的成本和工作以及可能產(chǎn)生的人為錯誤。示例1:當(dāng)測量某項信息安全控制的實施程度時,如帶硬盤加密功能的筆記本電腦的使用比例,起初測量結(jié)果很可能低于100%。當(dāng)結(jié)果達(dá)到并保持在100%時,能得出本項測度的結(jié)論:信息系統(tǒng)已經(jīng)完全實施了該安全控制,測量活動可以重新關(guān)注其他需要改進(jìn)的控制。示例2:對于一個新的ISMS,組織宜首先努力確保高層管理人員參加評審會議和召開的其他會議,所規(guī)劃(或預(yù)期)的結(jié)果是:除請病假和其他被允許的事先聲明外,所有會議都能全員出席。測度能簡單地定義為出席的人數(shù)和應(yīng)出席的人數(shù)的比例,并對因正當(dāng)理由缺勤的人數(shù)進(jìn)行修正。起初,這些測度的結(jié)果可能顯示實際出席人數(shù)與應(yīng)出席人數(shù)之間存在差額。但是,隨著時間的推移,結(jié)果宜達(dá)到并保持接近所規(guī)劃的目標(biāo)。此時,組織宜開始將測量工作聚焦在有效性測度上(見7.3)。當(dāng)大多數(shù)實施進(jìn)度測度達(dá)到并保持在100%之后,組織宜將其測量集中在有效性測度上。組織不宜完全放棄實施進(jìn)度測度,因為它能幫助指出需要改進(jìn)的特定安全控制。但是,隨著時間的推移,用于測量的重點和資源宜從這些測度轉(zhuǎn)移到有效性測度上(見7.3)。根據(jù)GB/T22080—2016的9.1,管理體系的有效性測度也同樣重要。為了運(yùn)行一個合適的ISMS,組織宜按照計劃的時間間隔來測量績效和有效性。7.3有效性測度宜使用有效性測度來描述ISMS風(fēng)險處置計劃、ISMS過程實現(xiàn)以及控制對組織信息安全目標(biāo)的有7GB/T31497—2024/ISO/IEC27004:2016效性和影響。這些測度宜被用于確定ISMS過程和信息安全控制是否按預(yù)期運(yùn)行并達(dá)到預(yù)期結(jié)果。根據(jù)這些目標(biāo),有效性測度能用來量化以下指標(biāo),如:a)ISMS節(jié)約的成本或通過處理信息安全事件產(chǎn)生的成本;b)ISMS獲得/維持的客戶信任程度;c)其他信息安全目標(biāo)的實現(xiàn)。通過將自動監(jiān)視和評價工具獲得的數(shù)據(jù)與關(guān)于ISMS活動的手動導(dǎo)出數(shù)據(jù)相結(jié)合,能建立有效性測度。這需要以一種能直接與ISMS活動和信息安全事件聯(lián)系起來的方式,在組織范圍內(nèi)跟蹤各種測度。為實現(xiàn)這一目標(biāo),組織宜具備以下方面的能力:d)通過實施進(jìn)度測度,對ISMS過程、控制或控制組的實施程度進(jìn)行評價;e)從自動監(jiān)視和評價工具收集數(shù)據(jù);f)從ISMS活動中手動收集數(shù)據(jù);g)對來自多個自動化和人工來源的數(shù)據(jù)進(jìn)行規(guī)范化和分析;h)向決策者解釋并報告該數(shù)據(jù)。有效性測度將風(fēng)險處置計劃的實現(xiàn)信息與各種資源信息結(jié)合起來,能為風(fēng)險管理過程提供輸入。它還能為信息安全對組織的價值提供最直接的洞察,也是高層管理人員最感興趣的內(nèi)容。示例3:眾所周知,對已知的脆弱性的利用是引發(fā)信息安全事件的主要原因。已知脆弱性的數(shù)量越多,它們未被處理的時間越長(如打補(bǔ)丁),它們被相關(guān)威脅利用的可能性就越大,相關(guān)的風(fēng)險暴露的可能性也就越大。有效性測度能幫助組織確定由此類脆弱性引起的風(fēng)險暴露情況。示例4:培訓(xùn)課程中各個模塊都有特定的培訓(xùn)目標(biāo)。有效性測度能幫助組織確定每個培訓(xùn)參與者對每一教學(xué)單元的理解程度,以及能應(yīng)用新知識和技能的程度。這些測度通常需要多個數(shù)據(jù)點,例如:培訓(xùn)后測試的結(jié)果、與培訓(xùn)主題相關(guān)的事件數(shù)據(jù)測試,或者是分析與培訓(xùn)主題相關(guān)的服務(wù)臺電話。8過程8.1概述監(jiān)視、測量、分析和評價(如圖2所示)包括以下過程:a)識別信息需求;b)建立和維護(hù)測度;c)建立規(guī)程;d)監(jiān)視和測量;e)分析結(jié)果;f)評價信息安全實施和ISMS有效性。此外,它還包括一個對上述過程進(jìn)行評審和改進(jìn)的ISMS管理過程,見8.8。8GB/T31497—2024/ISO/IEC27004:2016圖2監(jiān)視、測量、分析和評估過程8.2識別信息需求建立測度宜首先識別信息需求,這有助于了解ISMS各個方面的運(yùn)行特征和/或績效,比如ISMS的以下方面。a)利益相關(guān)方的需求。b)組織的戰(zhàn)略方向。c)信息安全策略和目標(biāo)。d)風(fēng)險處置計劃。宜開展以下活動以確定有關(guān)的信息需求。e)檢查ISMS及其過程和其他要素,如:1)信息安全策略和目標(biāo)、控制目標(biāo)和控制;2)信息安全的法律法規(guī)、規(guī)章、合同和組織要求;3)信息安全風(fēng)險管理過程的結(jié)果。f)基于以下準(zhǔn)則對已識別的信息需求進(jìn)行優(yōu)先級排序,如:1)風(fēng)險處置優(yōu)先級;2)組織的能力和資源;3)利益相關(guān)方需求;4)信息安全策略和目標(biāo),以及控制目標(biāo);5)滿足組織、法律法規(guī)、規(guī)章和合同所需的信息;6)通過測量獲得的信息的價值與相應(yīng)的測量成本。g)從優(yōu)先級列表中選擇需要通過測量來滿足的某一項信息需求。h)將選定的信息需求編制成文件,并傳達(dá)給所有利益相關(guān)方。8.3建立和維護(hù)測度8.3.1概述組織宜建立測度,然后按計劃的時間間隔或當(dāng)ISMS環(huán)境發(fā)生重大變化時,評審并系統(tǒng)性地更新這些測度。這類變化可能包括:a)ISMS的范圍;9GB/T31497—2024/ISO/IEC27004:2016b)組織結(jié)構(gòu);c)利益相關(guān)方,包括利益相關(guān)方的角色、職責(zé)和權(quán)限;d)經(jīng)營目標(biāo)和要求;e)法律法規(guī)和規(guī)章;f)在隨后幾個周期內(nèi)取得的穩(wěn)定的預(yù)期結(jié)果;g)信息處理技術(shù)和系統(tǒng)的引入或處置。建立或更新這些測度可能包括以下步驟:h)識別可支持信息需求的現(xiàn)有安全實踐;i)開發(fā)或更新測度;j)記錄測度并定義實施的優(yōu)先次序;k)保持管理層知情和參與。更新測度所花費(fèi)的時間和精力預(yù)計會少于最初建立測度所需的。8.3.2識別支持信息需求的現(xiàn)有安全實踐一旦確定了信息需求,組織宜將現(xiàn)有的測量和安全實踐作為測量的潛在組成部分編入清單。已有的測量和安全實踐可能包括以下方面的測量:a)風(fēng)險管理;b)項目管理;c)合規(guī)報告;d)安全策略。8.3.3開發(fā)或更新測度測度宜響應(yīng)信息需求。它既能依賴現(xiàn)有的實踐,也能是需要新的實踐。新確定的測度還能涉及對現(xiàn)有測度或測量過程的調(diào)整。無論如何,都宜充分詳細(xì)地定義所確定的測度,以便于這些測度的實施。例如,為支持安全測度而可能收集的數(shù)據(jù)包括:a)各種日志和掃描的輸出;b)培訓(xùn)和其他人力資源活動的統(tǒng)計數(shù)據(jù);c)相關(guān)調(diào)查和問卷;d)事件統(tǒng)計;e)內(nèi)部審核的結(jié)果;f)業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)演練的結(jié)果;g)管理評審的報告。宜檢查上述及其他可能的內(nèi)部或外部數(shù)據(jù)來源,并識別現(xiàn)有數(shù)據(jù)的類型。所選擇的測度宜支持信息需求的優(yōu)先級,并能考慮:h)數(shù)據(jù)收集的便利性;i)收集和管理數(shù)據(jù)所需人力資源的可用性;j)適當(dāng)工具的可用性;k)該測度支持的潛在相關(guān)績效指標(biāo)的數(shù)量;l)是否易于解釋;m)已有測量結(jié)果的用戶數(shù)量;n)表明該測度能夠滿足目的或信息需要的證據(jù);o)收集、管理和分析數(shù)據(jù)所需的成本。組織宜按照一種將測度與相關(guān)的信息需求(或其他需求)關(guān)聯(lián)起來的形式來記錄每項測度,并提供10GB/T31497—2024/ISO/IEC27004:2016關(guān)于描述測度的特征以及如何收集、分析和報告它的足夠信息。表1提供了建議的信息描述符。附錄B中的示例使用表1作為模板。其中兩個示例(即B.20和B.28)有一個附加的信息描述符(稱為“措施”),它定義了當(dāng)目標(biāo)未滿足時要采取的措施。組織若認(rèn)為該信息描述符有用,可將其包括在內(nèi)。描述測量構(gòu)造的方法不止一種,附錄C展示了另一種自由文本形式的方法。需要注意的是,可能需要提供不同的測度來滿足不同內(nèi)部或外部測量客戶的需求(如表1所示)。例如,解決高層管理人員信息需求的測度可能與面向系統(tǒng)管理員的測度不同(如,各利益相關(guān)方可以有特定的范圍、側(cè)重點或顆粒度)。每個測度宜至少對應(yīng)一個信息需求,而單個信息需求可能需要多個測度。組織宜謹(jǐn)慎使用主觀測度,因為由兩個或更多的主觀測度組合而成的測度可能會對最終結(jié)果產(chǎn)生不利影響。表1安全測度描述符示例信息描述符意義或目的測度ID特定的標(biāo)識符信息需求理解該測度作用的全面需求測度公式/得分如何對測度進(jìn)行評價、計算或計分測量的期望結(jié)果,例如,一個里程碑或一個統(tǒng)計測度或一組閾值。請注意,可能需要持續(xù)監(jiān)測以確保目標(biāo)持續(xù)實現(xiàn)實施的證據(jù)驗證測量實施的證據(jù),有助于識別不理想結(jié)果的可能原因,并為過程提供輸入。為公式提供輸入的數(shù)據(jù)頻率數(shù)據(jù)收集和報告的頻率,有多個頻率責(zé)任方負(fù)責(zé)收集和處理測度的人員。至少宜識別信息所有者、信息收集者和測量的客戶數(shù)據(jù)源潛在的數(shù)據(jù)源可能是數(shù)據(jù)庫、跟蹤工具、組織的其他部門、外部組織或特定的個人角色報告格式測度的收集和報告方式,例如,以文本、數(shù)字、圖形(餅圖、圖表、折線圖、條形圖等),作為“儀表板”或其他展示形式的一部分用收集一次數(shù)據(jù)并將其用于多種目的的方式來定義測度十分重要。在理想情況下,同樣的數(shù)據(jù)宜支持各種類型的測度,以響應(yīng)多個不同利益相關(guān)方的信息需求。還要注意,最容易實現(xiàn)的測度不一定是最有意義的或最相關(guān)的。目標(biāo)宜說明特定測度在涉及ISMS過程和控制的實施、信息安全目標(biāo)的實現(xiàn)以及ISMS有效性評價方面的最終預(yù)期狀態(tài)。得到與現(xiàn)有測度或所選測度有關(guān)的歷史數(shù)據(jù)能有助于目標(biāo)的制定。過去觀察到的趨勢在某些情況下能幫助了解以前的績效狀況,并指導(dǎo)創(chuàng)建可實現(xiàn)的目標(biāo)。但是,組織還宜注意,如果未經(jīng)適當(dāng)考慮而只根據(jù)以前取得的成果或以往的績效來設(shè)定目標(biāo),能使現(xiàn)狀保持不變,甚至阻礙持續(xù)改進(jìn)。8.3.4記錄測度和實施優(yōu)先級次序定義所需測度后,宜根據(jù)每項信息需求的優(yōu)先級和獲取數(shù)據(jù)的可行性,對測度集進(jìn)行文檔化,并確定實施的優(yōu)先次序。首先宜執(zhí)行實施進(jìn)度測度,以確保實施了ISMS的過程及其控制。一旦實施進(jìn)度測度產(chǎn)生了目標(biāo)值,則也可能實施有效性測度。關(guān)于何時實施監(jiān)視和相關(guān)活動的指南見6.4。11GB/T31497—2024/ISO/IEC27004:20168.3.5保持管理層的知情和參與組織中不同層級的管理人員需要參與測量的開發(fā)和實施,以便這些測量能夠反映管理人員的需求。此外,宜定期以適當(dāng)格式和形式向管理層報告最新的信息,確保管理層在測度的開發(fā)、實施和應(yīng)用的整個過程中始終了解安全測量活動。8.4建立規(guī)程實施已定義的和已明確實施先后次序的測度時,采取以下步驟。a)宜使參與安全測量過程的利益相關(guān)方了解測量活動及其基本原理。b)宜確定數(shù)據(jù)的收集和分析工具,并在需要時進(jìn)行調(diào)整,以有效且高效地收集測度。組織宜建立數(shù)據(jù)收集、分析和報告測度的規(guī)程,舉例如下。c)數(shù)據(jù)收集,包括數(shù)據(jù)的安全存儲和驗證。規(guī)程宜定義如何收集、存儲和驗證數(shù)據(jù),以及進(jìn)一步處理需要哪些背景信息。組織能運(yùn)用以下技術(shù)來進(jìn)行數(shù)據(jù)驗證:1)確保數(shù)據(jù)值在可能的閾值范圍內(nèi);2)檢查期望值列表;3)獲取背景信息,如數(shù)據(jù)采集時間。d)數(shù)據(jù)分析和報告測度分析結(jié)果。該規(guī)程宜明確數(shù)據(jù)分析技術(shù)和報告測度結(jié)果的頻率。e)報告的方法和格式,可能包括:1)記分卡,通過整合高層次績效指標(biāo)來提供戰(zhàn)略信息;注:這些可稱為“關(guān)鍵績效指標(biāo)”(見附錄A中的信息安全測量模型)。2)可執(zhí)行和可操作的指示板,聚焦戰(zhàn)略目標(biāo)而不是具體的控制和過程;3)報告格式的范圍從簡單靜態(tài)的風(fēng)格,如給定時間段的測度列表,到更復(fù)雜的交叉報表,具有嵌套分組、滾動總結(jié)以及動態(tài)追溯或鏈接功能。當(dāng)利益相關(guān)方需要查看原始數(shù)據(jù)時,報表最好使用易于閱讀的格式;4)用于展示動態(tài)值的評判標(biāo)識,包括警報、附加的圖形元素和終點標(biāo)記。8.5監(jiān)視和測量宜制定通過人工或自動方式進(jìn)行監(jiān)視、測量、存儲和驗證的規(guī)程。能通過根據(jù)檢查清單確認(rèn)所收集到的數(shù)據(jù)是否滿足要求的方式來實施數(shù)據(jù)驗證,以確保缺失數(shù)據(jù)對分析造成的影響最小,并且值是正確的或在可識別的范圍內(nèi)。宜收集足夠的數(shù)據(jù)以確保分析結(jié)果的可靠性。組織宜定期收集、分析、評價并向利益相關(guān)方報告測度。當(dāng)出現(xiàn)8.3.1所述的任何情形時,組織宜考慮更新其監(jiān)視、測量、分析和評價過程。在發(fā)布報告、指示板等中的信息之前,組織宜確定如何收集共享的數(shù)據(jù)和結(jié)果以及與誰共享,因為從保密性的角度來看,與信息安全相關(guān)的數(shù)據(jù)可能是比較敏感的。此外,宜檢查和評價數(shù)據(jù)收集過程,以確認(rèn)正在收集正確的測度而且是以一種可重復(fù)的、精確的和一致的方式來收集。8.6分析結(jié)果對收集數(shù)據(jù)的分析宜結(jié)合各項測度的目標(biāo)。ISO10017提供了統(tǒng)計分析的實施指南。宜對數(shù)據(jù)分析的結(jié)果進(jìn)行解釋。對結(jié)果進(jìn)行分析的人員(即:信息溝通者)宜能根據(jù)結(jié)果得出一些初步結(jié)論。但是,由于信息溝通者可能不直接參與技術(shù)和管理過程,所以需要由其他利益相關(guān)方對這些結(jié)論進(jìn)行評審。所有解釋都宜考慮測度所處的環(huán)境。數(shù)據(jù)分析宜識別已實施的ISMS、控制或控制組的預(yù)期結(jié)果和實際測量結(jié)果之間的差距。所識別12GB/T31497—2024/ISO/IEC27004:2016的差距能指出對已實施的ISMS(包括其范圍、策略、目標(biāo)、控制、過程和規(guī)程)的改進(jìn)需求。8.7評價信息安全績效和ISMS有效性根據(jù)5.2,組織宜:a)根據(jù)組織信息安全績效和ISMS有效性相關(guān)問題來闡述信息需求;b)根據(jù)信息需求來闡述測度。因此,如附錄A所示,對監(jiān)視和測量結(jié)果進(jìn)行分析將提供可用于滿足信息需求的數(shù)據(jù)。評價是對數(shù)據(jù)進(jìn)行解釋并確定組織信息安全績效和ISMS有效性的過程。8.8評審和改進(jìn)監(jiān)視、測量、分析和評價過程監(jiān)視、測量、分析和評價過程應(yīng)宜根據(jù)ISMS的需要不斷改進(jìn)。持續(xù)改進(jìn)活動可能包括以下方面:a)征求利益相關(guān)方的反饋意見;b)根據(jù)經(jīng)驗教訓(xùn)和其他反饋,調(diào)整收集和分析的技術(shù);c)修改實施規(guī)程;d)信息安全基準(zhǔn)數(shù)據(jù)。8.9保留和溝通文檔化信息GB/T22080—2016的9.1僅要求組織保留文檔化信息作為組織實施監(jiān)視和測量的證據(jù)。組織可自行決定適合的方式來滿足該要求。例如,組織能記錄用于分析和評價結(jié)果的過程和方法。報告被用于與利益相關(guān)方溝通測量結(jié)果,編寫報告時宜使用適當(dāng)?shù)母袷健7治龅慕Y(jié)論宜由利益相關(guān)方評審,以確保對數(shù)據(jù)的正確解釋。宜對數(shù)據(jù)分析的結(jié)果進(jìn)行文檔化,以便與利益相關(guān)方溝通。信息溝通者宜確定如何溝通信息安全測量結(jié)果,如:a)對內(nèi)和對外宜分別報告哪些測量結(jié)果;b)與單個利益相關(guān)方和多個利益相關(guān)方相關(guān)的測度清單;c)根據(jù)每個群體的需求來定制擬提供的特定測量結(jié)果和展示方式;d)從利益相關(guān)方獲得反饋的方式,這些反饋可用于評價測量結(jié)果的有用性和信息安全測量的有效性。13GB/T31497—2024/ISO/IEC27004:2016附錄A(資料性)信息安全測量模型在ISO/IEC/IEEE15939中給出并解釋了圖A.1所示的測量信息模型,可用于ISMS。模型描述了如何量化相關(guān)實體的屬性,并將其轉(zhuǎn)換為為決策提供依據(jù)的指標(biāo)。該模型是一個先將信息需求關(guān)聯(lián)到相關(guān)的實體和關(guān)注的屬性的結(jié)構(gòu)。例如,信息需求可以是員工對信息安全策略的了解程度。實體包括過程、控制、文件化信息、系統(tǒng)、設(shè)備、人員和資源。ISMS中相關(guān)實體示例有:風(fēng)險管理過程、審核過程、信息分類、訪問權(quán)限管理、信息安全方針、移動設(shè)備策略、后端計算機(jī)、管測量信息模型幫助測量策劃者確定在監(jiān)視、測量、分析和評價期間需要明確的內(nèi)容。GB/T22080—2016的9.1要求組織對信息安全績效和ISMS的有效性進(jìn)行評價,這通常涉及指標(biāo)(KPI,也稱為“關(guān)鍵成功指標(biāo)”)。為了確定這樣的指標(biāo),組織能夠建立基礎(chǔ)測度,并通過使用結(jié)合了兩個或更多基礎(chǔ)測度的測量函數(shù)來導(dǎo)出一個測度。本附錄中的測量模型(使用基礎(chǔ)測度、導(dǎo)出測度、績效指標(biāo)和測量結(jié)果)是滿足ISMS測量要求方法的一個示例,測量、分析和評價的過程還可參考其他可能的方法。14GB/T31497—2024/ISO/IEC27004:2016圖A.1測量信息模型中的主要關(guān)系15GB/T31497—2024/ISO/IEC27004:2016附錄B(資料性)測量構(gòu)造示例B.1概述本附錄中的示例遵循了本文件中規(guī)定的原則。表B.1將測量構(gòu)造示例映射到GB/T22080—2016中的特定條款或控制目標(biāo)編號。表B.1測量構(gòu)造示例到GB/T22080—2016中的特定條款或控制目標(biāo)編號的映射相關(guān)ISMS過程和控制(GB/T22080—2016中的章條或控制編號)測量構(gòu)造示例名稱5.1,7.1B.2資源分配7.5.2,A.5.1.2B.3策略評審5.1,9.3B.4管理層承諾8.2,8.3B.5風(fēng)險暴露9.2,A.18.2.1B.6審核方案10B.7改進(jìn)措施10B.8安全事件成本10,A.16.1.6B.9從信息安全事件中學(xué)習(xí)B.10糾正措施的實施A.7.2B.11ISMS培訓(xùn)或ISMS意識A.7.2.2B.12信息安全培訓(xùn)A.7.2.1,A.7.2.2B.13信息安全意識符合性A.7.2.2B.14ISMS意識活動有效性A.7.2.2,A.9.3.1,A.16.1B.15社會工程預(yù)防A.9.3.1B.16口令質(zhì)量-人工的A.9.3.1B.17口令質(zhì)量-自動化的A.9.2.5B.18評審用戶訪問權(quán)限B.19物理入口控制系統(tǒng)評價B.20物理入口控制有效性A.11.2.4B.21定期維護(hù)管理B.22變更管理B.23惡意代碼防范B.24反惡意軟件A.12.2.1,A.17.2.1B.25總可用性A.12.2.1,A.13.1.3B.26防火墻規(guī)則16GB/T31497—2024/ISO/IEC27004:2016表B.1測量構(gòu)造示例到GB/T22080—2016中的特定條款或控制目標(biāo)編號的映射(續(xù))相關(guān)ISMS過程和控制(GB/T22080—2016中的章條或控制編號)測量構(gòu)造示例名稱B.27日志文件評審B.28設(shè)備配置A.12.6.1,A.18.2.3B.29滲透測試和脆弱性評估B.30脆弱性全景B.31/B.32第三方協(xié)議中的安全A.16B.33安全事件管理有效性A.16.1B.34安全事件趨勢B.35安全事態(tài)報告B.36ISMS評審過程A.18.2.3B.37脆弱性覆蓋率每個示例都包含了GB/T22080—2016中條款或控制目標(biāo)編號關(guān)聯(lián)的交叉引用。此外,對于兩個示例(B.20和B.28),還包括一個稱為“措施”的附加信息描述符,它定義了在未達(dá)到目標(biāo)的情況下要采取的措施。如果組織認(rèn)為該信息描述符有用,可將其包括在內(nèi)。事實上,描述測量構(gòu)造的方法不止一種,附錄C展示了一種可替代的自由形式的方法。B.2資源分配資源分配測量構(gòu)造示例見表B.2。表B.2資源分配測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求根據(jù)原始預(yù)算量化分配給信息安全的資源測度預(yù)算周期內(nèi)分配給信息安全的資源明細(xì)(內(nèi)部人員、合同工、硬件、軟件、服務(wù))公式/評分預(yù)算期間內(nèi)分配的資源/使用的資源1實施證據(jù)信息安全資源監(jiān)控頻率年度責(zé)任方信息所有者:信息安全經(jīng)理信息采集者:信息安全經(jīng)理信息客戶:董事會數(shù)據(jù)源信息安全預(yù)算信息安全有效支出信息安全資源使用情況報告報告格式雷達(dá)圖,每個軸有一個資源類別,均顯示分配和使用的資源關(guān)聯(lián)GB/T22080—2016,5.1領(lǐng)導(dǎo)和承諾GB/T22080—2016,7.1資源17GB/T31497—2024/ISO/IEC27004:2016B.3策略評審策略評審測量構(gòu)造示例見表B.3。表B.3策略評審測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評價是否按計劃的時間間隔或者當(dāng)發(fā)生重大變化時對信息安全策略進(jìn)行評審測度策略評審的百分比公式/評分上一年度評審的信息安全策略數(shù)/已落實的信息安全策略數(shù)×100綠色:>80%,橙色≥40%,紅色<40%實施證據(jù)文件歷史記錄中提及文件評審或文件清單上注明了上一次評審的日期頻率收集:在為評審定義的計劃間隔之后(例如每年或重大變更之后)報告:每次收集責(zé)任方信息所有者:獲批對開發(fā)、評審和評價策略承擔(dān)管理職責(zé)的策略所有者信息采集者:內(nèi)審員測量客戶:首席信息安全官數(shù)據(jù)源策略評審計劃、安全策略的歷史記錄部分、文檔列表報告格式用餅圖表示現(xiàn)狀,用折線圖表示符合性發(fā)展關(guān)聯(lián)GB/T22080—2016,A.5.1.2信息安全策略的評審GB/T22080—2016,7.5.2創(chuàng)建和更新文件化信息B.4管理層承諾管理層承諾測量構(gòu)造示例見表B.4。表B.4管理層承諾測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估有關(guān)管理評審活動的管理層承諾和信息安全評審活動測度a)迄今為止完成的管理層評審會議b)迄今為止管理層評審會議的平均參與率公式/評分a)將[舉行的管理層評審會議]除以[計劃的管理層評審會議]b)計算所有管理層評審會議參與率的平均值和標(biāo)準(zhǔn)差指標(biāo)a)的結(jié)果比率在0.7和1.1之間,可以得出達(dá)成控制目標(biāo)、無需采取措施的結(jié)論。即使未達(dá)到以上分?jǐn)?shù),也宜至少在0.5以上,才能作出最小達(dá)成的結(jié)論。關(guān)于指標(biāo)b),根據(jù)標(biāo)準(zhǔn)差計算的置信度表明實現(xiàn)接近平均參與率的實際結(jié)果的可能性。非常寬泛的置信度表明可能存在較大的偏離以及需要制定應(yīng)急計劃來處理這一結(jié)果18GB/T31497—2024/ISO/IEC27004:2016表B.4管理層承諾測量構(gòu)造示例(續(xù))信息描述符方法或目的實施證據(jù)1.1統(tǒng)計到目前為止安排的管理層評審會議1.2迄今為止每次管理層評審會議,對計劃參加的經(jīng)理進(jìn)行計數(shù),并為臨時舉行的計劃外會議添加一個默認(rèn)值的新條目2.1.1統(tǒng)計迄今為止舉行的計劃內(nèi)的管理層評審會議2.1.2統(tǒng)計迄今為止舉行的計劃外的管理層評審會議2.1.3統(tǒng)計到目前為止重新安排的管理層評審會議2.2對于所有舉辦的管理層評審會議,計算參會管理者的數(shù)量頻率收集:每月分析:季度報告:季度測量修訂:每2年評審和更新一次測量周期:適用2年責(zé)任方信息所有者:質(zhì)量體系經(jīng)理(假設(shè)質(zhì)量管理體系和ISMS管理體系合并)信息采集者:質(zhì)量經(jīng)理;信息安全經(jīng)理測量客戶:負(fù)責(zé)ISMS的經(jīng)理;質(zhì)量體系經(jīng)理數(shù)據(jù)源1.信息安全管理評審計劃/時間表2.管理評審紀(jì)要/記錄報告格式折線圖,描述了具有幾個數(shù)據(jù)收集準(zhǔn)則的指標(biāo),以及帶有測量結(jié)果說明的報告期間。數(shù)據(jù)收集和報告周期的數(shù)量宜由組織確定關(guān)聯(lián)GB/T22080—2016,9.3管理評審GB/T22080—2016,5.1領(lǐng)導(dǎo)和承諾B.5風(fēng)險暴露風(fēng)險暴露測量構(gòu)造示例見表B.5。表B.5風(fēng)險暴露測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估組織面臨的信息安全風(fēng)險測度a)超出可接受閾值的中高風(fēng)險b)及時評審高風(fēng)險和中風(fēng)險公式/評分a)宜確定高風(fēng)險和中風(fēng)險的閾值,并在違反閾值時提醒責(zé)任方b)未更新狀態(tài)的風(fēng)險數(shù)1實施證據(jù)更新的風(fēng)險登記簿頻率收集:至少每季度一次報告:每季度19GB/T31497—2024/ISO/IEC27004:2016表B.5風(fēng)險暴露測量構(gòu)造示例(續(xù))信息描述符方法或目的責(zé)任方信息所有者:安全人員信息采集者:安全人員數(shù)據(jù)源信息風(fēng)險登記簿報告格式高風(fēng)險趨勢可接受的中高風(fēng)險趨勢關(guān)聯(lián)GB/T22080—2016,8.2信息安全風(fēng)險評估GB/T22080—2016,8.3信息安全風(fēng)險處置B.6審核方案審核方案測量構(gòu)造示例見表B.6。表B.6審核方案測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求審核方案的完整性測度執(zhí)行的評審總數(shù)與計劃的評審總數(shù)相比公式/評分執(zhí)行的審核總數(shù)/計劃的審核總數(shù)×100。>95%實施證據(jù)審核方案和有關(guān)監(jiān)測報告頻率年度責(zé)任方信息所有者:審核經(jīng)理信息采集者:審核經(jīng)理信息客戶:最高管理層數(shù)據(jù)源審核方案和審核報告報告格式將每一抽樣年度完成的審核與方案的比率聯(lián)系起來的趨勢圖關(guān)聯(lián)GB/T22080—2016,9.2內(nèi)部審核GB/T22080—2016,A.18.2.1信息安全的獨(dú)立評審B.7改進(jìn)措施改進(jìn)措施測量構(gòu)造示例見表B.7。20GB/T31497—2024/ISO/IEC27004:2016表B.7改進(jìn)措施測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求根據(jù)計劃驗證改進(jìn)措施的狀態(tài)及其管理測度按照時間、成本和質(zhì)量(即要求)采取的措施與所有計劃措施的百分比這些措施宜在時間表開始時已計劃好(即啟動、待命和進(jìn)行中)公式/評分按時間、成本和質(zhì)量采取的措施/措施數(shù)量×10090%實施證據(jù)每個措施的狀態(tài)監(jiān)控頻率季度責(zé)任方信息所有者:項目管理辦公室信息采集者:項目管理辦公室信息客戶:信息安全經(jīng)理數(shù)據(jù)源相關(guān)項目計劃報告格式所有相關(guān)措施及其狀態(tài)(實際的與計劃的時間、成本和質(zhì)量預(yù)測對比)列表,以及時間、成本和質(zhì)量方面的行動占時間表內(nèi)相關(guān)行動數(shù)量的百分比關(guān)聯(lián)GB/T22080—2016,第10章改進(jìn)需要注意的是,可通過考慮對各個措施的重要性(例如,處理高風(fēng)險的措施)進(jìn)行加權(quán)來改進(jìn)本測度。所有相關(guān)操作的列表宜與綜合結(jié)果一起列出,以便大量非關(guān)鍵但在可接受范圍內(nèi)的措施不會隱藏少量超出可接受范圍的關(guān)鍵措施。B.8安全事件成本安全事件成本測量構(gòu)造示例見表B.8。表B.8安全事件成本測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求對因缺乏信息安全而產(chǎn)生成本的考量測度采樣周期內(nèi)發(fā)生信息安全事件的成本總和公式/評分總計(每次信息安全事件的成本)小于組織定義的可接受閾值實施證據(jù)系統(tǒng)性地收集每次信息安全事件的成本頻率季度責(zé)任方信息所有者:計算機(jī)安全事件響應(yīng)小組(CSIRT)信息采集者:信息安全經(jīng)理信息客戶:高層管理者21GB/T31497—2024/ISO/IEC27004:2016表B.8安全事件成本測量構(gòu)造示例(續(xù))信息描述符方法或目的數(shù)據(jù)源事件報告報告格式顯示本次和以往采樣期間信息安全事件成本的柱狀圖。接下來可能深入分析:—每次信息安全事件的平均成本;—每個信息安全事件類別的每次信息安全事件的平均成本(類別宜事先定義)關(guān)聯(lián)GB/T22080—2016,第10章改進(jìn)B.9從信息安全事件中學(xué)習(xí)從信息安全事件中學(xué)習(xí)測量構(gòu)造示例見B.9。表B.9從信息安全事件中學(xué)習(xí)測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求驗證安全事件是否觸發(fā)改善當(dāng)前安全狀況的措施測度觸發(fā)信息安全改進(jìn)措施的安全事件數(shù)公式/評分觸發(fā)改進(jìn)措施的安全事件總數(shù)/安全事件總數(shù)值宜高于組織定義的閾值實施證據(jù)與安全事件相關(guān)的行動計劃頻率收集:每季度報告:每半年責(zé)任方信息所有者:計算機(jī)安全事件響應(yīng)小組(CSIRT)信息采集者:信息安全經(jīng)理信息客戶:信息安全經(jīng)理數(shù)據(jù)源事件報告報告格式顯示本次和以往采樣期間信息安全事件成本的柱狀圖。接下來可能深入分析:—每次信息安全事件的平均成本—每個信息安全事件類別的每次信息安全事件的平均成本(類別宜事先定義)關(guān)聯(lián)GB/T22080—2016,第10章改進(jìn)GB/T22080—2016,A.16.1.6從信息安全事件中學(xué)習(xí)B.10糾正措施的實施糾正措施的實施測量構(gòu)造示例見表B.10。22GB/T31497—2024/ISO/IEC27004:2016表B.10糾正措施的實施測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估糾正措施實施的績效測度a)未實施糾正措施的比率b)無理由未實施糾正措施的比率c)狀態(tài)趨勢公式/評分a)將[迄今未實施的糾正措施]除以[迄今計劃的糾正措施]b)將[無理由未實施的糾正措施]除以[迄今計劃的糾正措施]c)將狀態(tài)與以前的狀態(tài)進(jìn)行比較為了得出達(dá)到目標(biāo)和不需采取措施的結(jié)論,指標(biāo)a)和指標(biāo)b)的比率宜分別在0.4與0.0之間和0.2與0.0之間,指標(biāo)c)的趨勢在過去兩個報告期內(nèi)宜一直下降。指標(biāo)c)宜與以前的指標(biāo)相比較,以便能檢查糾正措施實施的趨勢實施證據(jù)1.統(tǒng)計迄今為止計劃實施的糾正措施2.統(tǒng)計截止日期前已實施的糾正措施3.統(tǒng)計計劃實施但未實施的糾正措施及其原因頻率收集:季度分析:季度報告:季度測量修訂:每年審查一次測量周期:適用1年責(zé)任方信息所有者:負(fù)責(zé)ISMS的經(jīng)理信息收集者:負(fù)責(zé)ISMS的經(jīng)理測量客戶:負(fù)責(zé)ISMS的經(jīng)理、信息安全經(jīng)理數(shù)據(jù)源糾正措施報告報告格式帶測量結(jié)果說明的堆積條形圖。測量結(jié)果包括發(fā)現(xiàn)和可能采取的管理措施摘要。摘要描述糾正措施的總數(shù),分為已實施、無正當(dāng)理由未實施和有正當(dāng)理由未實施關(guān)聯(lián)GB/T22080—2016,10.1不符合及糾正措施B.11ISMS培訓(xùn)或ISMS意識ISMS培訓(xùn)或ISMS意識測量構(gòu)造示例見表B.11。表B.11ISMS培訓(xùn)或ISMS意識測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求測量有多少員工接受了與ISMS相關(guān)的意識培訓(xùn),并根據(jù)組織的信息安全策略建立控制合規(guī)性測度參加ISMS意識培訓(xùn)的員工百分比23GB/T31497—2024/ISO/IEC27004:2016表B.11ISMS培訓(xùn)或ISMS意識測量構(gòu)造示例(續(xù))信息描述符方法或目的公式/評分I1=接受ISMS培訓(xùn)的員工人數(shù)/需要接受ISMS培訓(xùn)的員工人數(shù)×100I2=去年更新ISMS培訓(xùn)的員工人數(shù)/范圍內(nèi)員工人數(shù)×100綠色:如果I1>90%且I2>50%否則為黃色:如果I1>60%且I2>30%否則為紅色紅色—需要干預(yù),一定要進(jìn)行原因分析,以確定不符合和表現(xiàn)不佳的原因黃色—宜密切關(guān)注指標(biāo)信號是否可能滑至紅色綠色—無需任何操作實施證據(jù)所有參與意識培訓(xùn)的名單;ISMS培訓(xùn)字段/行填充為“已接收”的日志/登記簿計數(shù)頻率收集:每月,每月第一個工作日分析:季度報告:季度測量修訂:每年審查一次計量周期:年度責(zé)任方信息所有者:人力資源培訓(xùn)經(jīng)理信息采集者:培訓(xùn)管理-人力資源部測量客戶:負(fù)責(zé)ISMS的經(jīng)理、首席信息安全官數(shù)據(jù)源員工數(shù)據(jù)庫、培訓(xùn)記錄、意識培訓(xùn)參與列表報告格式條形圖,根據(jù)目標(biāo)進(jìn)行顏色編碼。宜在條形圖中附上措施含義和可能采取的管理措施的簡短摘要或者使用餅圖表示現(xiàn)狀,使用折線圖表示符合性發(fā)展關(guān)聯(lián)GB/T22080—2016,7.2能力B.12信息安全培訓(xùn)信息安全培訓(xùn)測量構(gòu)造示例見表B.12。表B.12信息安全培訓(xùn)測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估是否符合年度信息安全意識培訓(xùn)要求測度接受年度信息安全意識培訓(xùn)的人員百分比公式/評分接受年度信息安全意識培訓(xùn)的員工人數(shù)/需要接受年度信息安全意識培訓(xùn)的員工人數(shù)×10024GB/T31497—2024/ISO/IEC27004:2016表B.12信息安全培訓(xùn)測量構(gòu)造示例(續(xù))信息描述符方法或目的0%~60%紅色;60%~90%黃色;90%~100%綠色。對于黃色,如果未達(dá)到每季度至少10%的進(jìn)度,則評級自動為紅色紅色—需要干預(yù),一定要進(jìn)行原因分析,以確定不符合和表現(xiàn)不佳的原因黃色—宜密切關(guān)注指示信號是否可能滑至紅色綠色—無需任何改進(jìn)措施實施證據(jù)年度信息安全意識培訓(xùn)字段/行填充為“已接收”的日志/注冊表計數(shù)頻率收集:每月,每月第一個工作日分析:季度報告:季度測量修訂:每年審查一次計量周期:年度責(zé)任方信息所有者:信息安全官員和培訓(xùn)經(jīng)理信息采集者:培訓(xùn)管理者-人力資源部測量客戶:負(fù)責(zé)ISMS的經(jīng)理;安全管理者;培訓(xùn)管理者數(shù)據(jù)源員工數(shù)據(jù)庫、培訓(xùn)記錄報告格式條形圖,根據(jù)目標(biāo)進(jìn)行顏色編碼。宜在條形圖中附上措施含義和可能采取的管理措施的摘要關(guān)聯(lián)GB/T22080—2016,A.7.2.2信息安全意識、教育和培訓(xùn)B.13信息安全意識符合性信息安全意識符合性測量構(gòu)造示例見表B.13。表B.13信息安全意識符合性測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估相關(guān)人員遵守組織安全意識策略的情況測度1.迄今為止的進(jìn)度2.迄今為止已簽字的進(jìn)度公式/評分通過添加所有已簽字、計劃完成的人員的狀態(tài),得出“迄今為止的進(jìn)度”通過將迄今已簽字的人員除以計劃簽字的人員得出“迄今為止已簽字的進(jìn)度”a)[將迄今為止的進(jìn)度除以(計劃迄今的人員乘以100)]和迄今為止已簽字的進(jìn)度b)將狀態(tài)與以前的狀態(tài)進(jìn)行比較a)得出的比率宜分別在0.9與1.1之間和0.99與1.01之間,則能確定達(dá)到了控制目標(biāo),無需采取措施b)趨勢宜是上升或穩(wěn)定的25GB/T31497—2024/ISO/IEC27004:2016表B.13信息安全意識符合性測量構(gòu)造示例(續(xù))信息描述符方法或目的實施證據(jù)1.1統(tǒng)計到目前為止計劃簽署并完成培訓(xùn)的人員數(shù)量1.2詢問負(fù)責(zé)人完成培訓(xùn)并簽字的人員百分比2.1計算計劃在此日期之前簽署的人員數(shù)2.2統(tǒng)計已簽署用戶協(xié)議的人員數(shù)頻率收集:每月,每月第一個工作日分析:季度報告:季度測量修訂:每年審查一次計量周期:年度責(zé)任方信息所有者:信息安全官員和培訓(xùn)經(jīng)理信息采集者:培訓(xùn)管理者;人力資源部測量客戶:負(fù)責(zé)ISMS的經(jīng)理;安全管理者;培訓(xùn)管理者數(shù)據(jù)源1.1信息安全意識培訓(xùn)計劃/時間表:計劃中確定的人員1.2已完成或正在進(jìn)行培訓(xùn)的人員:與培訓(xùn)有關(guān)的人員狀況2.1簽署用戶協(xié)議計劃/時間表:簽署計劃中確定的人員2.2簽訂協(xié)議的人員:與簽訂協(xié)議有關(guān)的人員狀況報告格式標(biāo)準(zhǔn)字體=完全符合標(biāo)準(zhǔn)斜體=部分符合標(biāo)準(zhǔn)粗體=不符合標(biāo)準(zhǔn)關(guān)聯(lián)GB/T22080—2016,A.7.2.1管理責(zé)任GB/T22080—2016,A.7.2.2信息安全意識、教育和培訓(xùn)B.14信息安全意識活動有效性信息安全意識活動有效性測量構(gòu)造示例見表B.14。表B.14信息安全意識活動有效性測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求測量員工理解意識活動內(nèi)容測度信息安全意識活動開展前和開展后通過知識測試的員工比例公式/評分選擇作為意識活動對象的一批員工,讓他們填寫關(guān)于意識活動的簡短知識測試通過測試的人數(shù)百分比綠色:90%~100%的人員通過測試;橙色:60%~90%人員通過測試;紅色:<60%的人員通過測試實施證據(jù)向員工提供的意識活動文檔/信息;參加意識活動的員工清單;知識測試頻率收集:意識活動后的一個月報告:每次收集活動26GB/T31497—2024/ISO/IEC27004:2016表B.14信息安全意識活動有效性測量構(gòu)造示例(續(xù))信息描述符方法或目的責(zé)任方信息所有者:人力資源部門信息采集者:人力資源部門信息客戶:信息安全經(jīng)理數(shù)據(jù)源員工數(shù)據(jù)庫,意識活動信息,知識測試結(jié)果報告格式代表通過測試的員工百分比的餅圖和代表演變的折線圖(如果針對特定主題組織了額外培訓(xùn))關(guān)聯(lián)GB/T22080—2016,A.7.2.2信息安全意識、教育和培訓(xùn)B.15社會工程預(yù)防社會工程預(yù)防測量構(gòu)造示例見表B.15。表B.15社會工程預(yù)防測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評價員工是否準(zhǔn)備好對某些社會工程攻擊做出適當(dāng)反應(yīng)測度員工對測試正確反應(yīng)的比例。例如,沒有點擊發(fā)送給(被選擇)員工的包含有釣魚鏈接的郵件公式/評分a=點擊鏈接的員工人數(shù)/參與測試的員工人數(shù)b=1-通過適當(dāng)途徑報告危險郵件的員工人數(shù)c=點擊鏈接時遵循指示的員工人數(shù),即透露口令/參與人數(shù)d=上述參數(shù)的適當(dāng)(取決于試驗的性質(zhì))加權(quán)和d:0~60:紅色;60~80:黃色;90~100:綠色實施證據(jù)統(tǒng)計由某鏈接處理的模擬命令核控制的活躍度。注意尊重個人隱私,對數(shù)據(jù)匿名處理,這樣測試參與者就不必?fù)?dān)心測試帶來的負(fù)面后果頻率收集:每月到每年,取決于社會工程攻擊的嚴(yán)重程度報告:每次收集活動責(zé)任方信息所有者:首席信息安全官信息采集者:IT安全官(接受過隱私方面的培訓(xùn))測量客戶:風(fēng)險管理者數(shù)據(jù)源給定服務(wù)的員工或用戶列表;意識支持、通信(電子郵件或內(nèi)部網(wǎng))報告格式測試報告,描述測試細(xì)節(jié)、測量、結(jié)果分析,以及基于目標(biāo)和協(xié)商處理的建議關(guān)聯(lián)GB/T22080—2016,A.16.1信息安全事件的管理和改進(jìn)GB/T22080—2016,A.9.3.1秘密鑒別信息的使用GB/T22080—2016,A.7.2.2信息安全意識、教育和培訓(xùn)27GB/T31497—2024/ISO/IEC27004:2016B.16口令質(zhì)量-人工的口令質(zhì)量-人工的測量構(gòu)造示例見表B.16。表B.16口令質(zhì)量-人工的測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估用戶訪問組織IT系統(tǒng)的口令質(zhì)量測度與組織口令質(zhì)量策略一致的口令總數(shù)a)口令滿足組織口令質(zhì)量策略的比例b)關(guān)于口令質(zhì)量策略的符合性狀態(tài)趨勢公式/評分統(tǒng)計用戶口令數(shù)據(jù)庫中的口令數(shù)確定滿足組織口令策略的口令數(shù):∑[每個用戶符合組織口令質(zhì)量策略的口令總數(shù)]a)口令符合組織口令質(zhì)量策略的比率b)口令質(zhì)量策略的符合性狀態(tài)趨勢c)遵守組織口令質(zhì)量策略的口令總數(shù)/注冊的口令數(shù)d)將當(dāng)前的比率與之前的比率進(jìn)行比較如果所得比率高于0.9,則達(dá)到控制目標(biāo),無需采取措施。如果所得比率在0.8與0.9之間,則控制目標(biāo)沒有實現(xiàn),但正趨勢表明情況有所改善。如果所得比率低于0.8,宜立即采取措施實施證據(jù)1.統(tǒng)計用戶口令數(shù)據(jù)庫中的口令數(shù)2.確定滿足組織口令策略的口令數(shù)、配置文件、口令設(shè)置或配置工具頻率收集:取決于關(guān)鍵程度,但最少一年分析:每次收集活動后報告:每次收集活動后測量修訂:每年測量周期:每年責(zé)任方信息所有者:系統(tǒng)管理員信息采集者:安全員測量客戶:負(fù)責(zé)ISMS的管理者,安全管理者數(shù)據(jù)源用戶口令數(shù)據(jù)庫,個人口令報告格式描述符合組織口令質(zhì)量策略的趨勢線,與前一報告期產(chǎn)生的趨勢線疊加關(guān)聯(lián)GB/T22080—2016,A.9.3.1秘密鑒別信息的使用B.17口令質(zhì)量-自動化的口令質(zhì)量-自動化的測量構(gòu)造示例見表B.17。28GB/T31497—2024/ISO/IEC27004:2016表B.17口令質(zhì)量-自動化的測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求評估用戶訪問組織IT系統(tǒng)的口令的質(zhì)量測度1.口令總數(shù)2.不可破解的口令總數(shù)公式/評分1.4h內(nèi)破解的口令比率2.比率為1的趨勢a)不可破解的口令數(shù)/口令總數(shù)b)與之前的比率相比對如果所得比率高于0.9,則達(dá)到控制目標(biāo),無需采取措施。如果所得比率在0.8和0.9之間,則控制目標(biāo)沒有實現(xiàn),但正趨勢表明情況有所改善。如果所得比率低于0.8,宜立即采取措施實施證據(jù)1.查詢員工賬戶記錄2.使用混合攻擊對員工系統(tǒng)帳戶記錄運(yùn)行口令破解程序頻率收集:每周分析:每周報告:每周測量修訂:每年復(fù)審或更新測量周期:適用3年責(zé)任方信息所有者:系統(tǒng)管理員信息采集者:安全員測量客戶:負(fù)責(zé)ISMS的管理者、安全管理者數(shù)據(jù)源員工系統(tǒng)賬號數(shù)據(jù)庫報告格式描述符合組織口令質(zhì)量策略的趨勢線,與前一報告期產(chǎn)生的趨勢線疊加關(guān)聯(lián)GB/T22080—2016,A.9.3.1秘密鑒別信息的使用B.18評審用戶訪問權(quán)限評審用戶訪問權(quán)限測量構(gòu)造示例見表B.18。表B.18評審用戶訪問權(quán)限測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求測量在關(guān)鍵系統(tǒng)上執(zhí)行了系統(tǒng)地實施了多少用戶訪問權(quán)限的評審測度定期評審用戶訪問權(quán)限的關(guān)鍵系統(tǒng)比例公式/評分[定期評審用戶訪問權(quán)限的關(guān)鍵系統(tǒng)比例/被定為關(guān)鍵信息系統(tǒng)的總數(shù)]×100綠色:90%~100%;橙色:70%~90%;紅色<70%實施證據(jù)評審證據(jù)(例如:郵件,票務(wù)系統(tǒng)中的票、公式驗證評審?fù)瓿?29GB/T31497—2024/ISO/IEC27004:2016表B.18評審用戶訪問權(quán)限測量構(gòu)造示例(續(xù))信息描述符方法或目的頻率收集:升職、降職、解聘等變動后報告:每半年責(zé)任方信息所有者:風(fēng)險責(zé)任人信息采集者:首席信息安全官測量客戶:信息安全管理者數(shù)據(jù)源資產(chǎn)清單,用于跟蹤是否進(jìn)行了評審的系統(tǒng),例如票務(wù)系統(tǒng)報告格式用餅圖表示現(xiàn)狀,用折線圖表示符合性發(fā)展關(guān)聯(lián)GB/T22080—2016,A.9.2.5用戶訪問權(quán)的評審B.19物理入口控制系統(tǒng)評價物理入口控制系統(tǒng)評價測量構(gòu)造示例見表B.19。表B.19物理入口控制系統(tǒng)評價測量構(gòu)造示例信息描述符方法或目的測度ID由組織定義信息需求顯示用于訪問控制的系統(tǒng)是否存在,及其范圍和質(zhì)量測度物理入口控制系統(tǒng)強(qiáng)度公式/評分范圍0~50.無訪問控制系統(tǒng)1.有訪問系統(tǒng),使用個人身份識別碼(Personalidentificationnumber,PIN)(一種單因子系統(tǒng))進(jìn)行入口控制2.有門禁卡系統(tǒng),使用通行證(一種單因子系統(tǒng))進(jìn)行入口控制3.有門禁卡系統(tǒng),使用通行證和PIN碼進(jìn)行入口控制4.在上述第3條基礎(chǔ)上,增加日志功能已激活5.在上述第4條基礎(chǔ)上,增加PIN碼已被生物鑒別取代(指紋,聲紋,虹膜等)3=符合要求實施證據(jù)進(jìn)行定性評估,其中每個子集等級是上述等級的一部分??刂迫肟诳刂葡到y(tǒng)的類型,并檢查以下方面:—門禁卡系統(tǒng)存在—PIN碼使用—日志功能—生物鑒別證頻率收集:每年分析:每年報告:每年測量修訂:12個月測量周期:適用于12個月30GB/T31497—2024/ISO/IEC27004:2016表B.19物理入口控制系統(tǒng)評價測量構(gòu)造示例(續(xù))信息描述符方法或目的責(zé)任方信息所有者:設(shè)備管理經(jīng)理信息采集者:內(nèi)部審核員/外部審核員測量客戶:信息安全管理委員會數(shù)據(jù)源身份管理記錄報告格式圖關(guān)聯(lián)GB/T22080—2016,A.11.1.2物理入口控制B
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 焦慮抑郁癥的臨床護(hù)理
- 宮縮乏力的健康宣教
- 創(chuàng)傷性肘關(guān)節(jié)炎的健康宣教
- 慢性蝶竇炎的健康宣教
- JJF(黔) 82-2024 光柱式血壓計校準(zhǔn)規(guī)范
- 《數(shù)學(xué)家的生日蛋糕》課件
- 學(xué)期班級教學(xué)計劃活動任務(wù)工作安排
- 2024-2025學(xué)年年七年級數(shù)學(xué)人教版下冊專題整合復(fù)習(xí)卷第28章 銳角三角函數(shù) 數(shù)學(xué)活動(含答案)
- 魚塘工程施工合同三篇
- 職場變革應(yīng)對指南計劃
- 安徽省蚌埠市聯(lián)考2024-2025學(xué)年七年級上學(xué)期12月期末考試英語試題(無答案)
- 《SYT6848-2023地下儲氣庫設(shè)計規(guī)范》
- 2024至2030年中國甲醚化氨基樹脂行業(yè)投資前景及策略咨詢研究報告
- 行政案例分析-第二次形成性考核-國開(SC)-參考資料
- 2024-2025學(xué)年人教版八年級上學(xué)期數(shù)學(xué)期末復(fù)習(xí)試題(含答案)
- “感恩老師”教師節(jié)主題班會教案【三篇】
- 揚(yáng)塵防治(治理)監(jiān)理實施細(xì)則(范本)
- 危險化學(xué)品經(jīng)營單位主要負(fù)責(zé)人考試練習(xí)題(含答案)
- 2024年廣西安全員A證考試題庫
- 高等數(shù)學(xué)教程 上冊 第4版 測試題及答案 共4套
- 太陽能路燈維護(hù)與保養(yǎng)方案
評論
0/150
提交評論