盧挺陳多思

（1.常州出入境檢驗(yàn)檢疫局　　江蘇常州　213022；2.中國(guó)信息安全認(rèn)證中心江蘇中心）

信息安全管理體系有效性測(cè)量與評(píng)價(jià)指標(biāo)研究

盧挺1陳多思2

（1.常州出入境檢驗(yàn)檢疫局江蘇常州213022；2.中國(guó)信息安全認(rèn)證中心江蘇中心）

將信息安全目標(biāo)分解為11個(gè)方面、39個(gè)子目標(biāo)，每個(gè)子目標(biāo)作為一個(gè)測(cè)量的對(duì)象，設(shè)置一個(gè)或若干個(gè)測(cè)量指標(biāo)。再通過(guò)權(quán)重分析、綜合評(píng)價(jià)，提出信息安全管理的集成測(cè)量評(píng)價(jià)模型，將信息安全目標(biāo)的有效性量化為一個(gè)百分比的數(shù)值，幫助管理者更好地掌握組織信息安全管理現(xiàn)狀，考核信息安全管理績(jī)效，計(jì)算信息安全管理措施的投資回報(bào)率，以及發(fā)現(xiàn)信息安全管理中的關(guān)鍵不足，積極采取有效控制措施，有利于組織的信息安全管理體系更加完善。

信息安全量化管理；有效性測(cè)量；測(cè)量模型；指標(biāo)體系；權(quán)重分析；綜合評(píng)價(jià)

1　前言

隨著信息化技術(shù)的發(fā)展，信息安全問題變得日益突出，全社會(huì)對(duì)于信息安全的認(rèn)識(shí)也逐步提高。一方面，國(guó)家成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，并由總書記親自掛帥；另一方面，企業(yè)對(duì)于信息安全的認(rèn)證展現(xiàn)了極大的熱情。自2005年信息安全管理體系標(biāo)準(zhǔn)ISO27001：2005［1］發(fā)布以來(lái)，短短10年間，中國(guó)就后來(lái)居上，通過(guò)ISO27001認(rèn)證的企業(yè)數(shù)量在全球排名前列。這些都充分說(shuō)明了信息安全在中國(guó)，不論是官方還是民間，都越來(lái)越受到重視。

但是，在信息安全領(lǐng)域投入了大量人力、物力、財(cái)力，最終的效果如何？許多企業(yè)通過(guò)了信息安全管理體系認(rèn)證，其實(shí)際信息安全管理水平如何？各級(jí)政府行政機(jī)關(guān)事業(yè)單位都把信息安全納入了考核要求，考核如何量化？現(xiàn)實(shí)需要使得信息安全管理體系有效性測(cè)量與評(píng)價(jià)指標(biāo)的研究具有非常重要的意義［2，3］。

量化管理理論是一種從目標(biāo)出發(fā)，使用科學(xué)、量化的手段進(jìn)行組織體系設(shè)計(jì)和為具體工作建立標(biāo)準(zhǔn)的理論，它涵蓋組織戰(zhàn)略制定、組織體系建設(shè)、對(duì)具體工作進(jìn)行量化管理等。為了及時(shí)準(zhǔn)確掌握信息安全管理體系運(yùn)行的效率和效果，需要對(duì)信息安全管理進(jìn)行量化，建立有效的測(cè)量方法與評(píng)價(jià)指標(biāo)［4，5］。

2　信息安全管理體系測(cè)量模型

《信息安全管理測(cè)量》（ISO 27004：2009）［6］是ISO27000系列標(biāo)準(zhǔn)中，關(guān)于評(píng)估信息安全管理體系（Information Security Management System，簡(jiǎn)稱ISMS）和控制措施有效性的實(shí)施指南，通過(guò)該標(biāo)準(zhǔn)可以幫助組織建立有效的ISMS有效性測(cè)量模型。

2.1測(cè)量目標(biāo)

在信息安全管理體系的背景下，信息安全測(cè)量的目標(biāo)包括如下幾個(gè)方面：①評(píng)價(jià)已實(shí)施控制措施或控制措施集的有效性；②評(píng)價(jià)已實(shí)施的ISMS的有效性；③驗(yàn)證已識(shí)別安全要求的滿足程度；④在組織的總體業(yè)務(wù)風(fēng)險(xiǎn)方面，促進(jìn)信息安全執(zhí)行情況的改進(jìn)；⑤為了便于做出ISMS相關(guān)的決策，并證明已實(shí)施的ISMS所需的改進(jìn)，為管理評(píng)審提供輸入。詳見圖1。

圖1　　信息安全管理ISMS PDCA循環(huán)中的測(cè)量輸入和輸出

2.2測(cè)量模型

信息安全測(cè)量模型是將信息需要和相關(guān)測(cè)量對(duì)象及其屬性關(guān)聯(lián)的結(jié)構(gòu)（如圖2所示），測(cè)量對(duì)象可包括已計(jì)劃的或已實(shí)施的過(guò)程、規(guī)程、項(xiàng)目和資源；信息安全測(cè)量模型描述如何將相關(guān)屬性進(jìn)行量化并轉(zhuǎn)換為指標(biāo)，以提供決策依據(jù)。

圖2　　信息安全測(cè)量模型

3　信息安全管理測(cè)量指標(biāo)體系

建立信息安全管理測(cè)量評(píng)價(jià)指標(biāo)體系，關(guān)鍵是將信息安全目標(biāo)分解為多個(gè)子目標(biāo)，每個(gè)子目標(biāo)作為信息安全獨(dú)立的測(cè)量對(duì)象，再通過(guò)多個(gè)測(cè)量指標(biāo)來(lái)測(cè)量。每個(gè)測(cè)量指標(biāo)應(yīng)考慮“可量化、易于測(cè)量、可重復(fù)測(cè)量、有效反映目標(biāo)效果”的要求，還應(yīng)考慮其達(dá)標(biāo)的閥值和對(duì)測(cè)量對(duì)象的影響權(quán)重，從而構(gòu)成一套多層次多級(jí)綜合評(píng)價(jià)的指標(biāo)體系。

《信息安全管理實(shí)用規(guī)則》（ISO 27002：2005）［7］從安全方針、信息安全組織、資產(chǎn)管理等11個(gè)方面，提出了39個(gè)信息安全管理子目標(biāo)。這39個(gè)信息安全管理子目標(biāo)，就是本研究的測(cè)量對(duì)象。為了實(shí)現(xiàn)這39個(gè)信息安全管理子目標(biāo)，標(biāo)準(zhǔn)提供了133項(xiàng)控制措施。根據(jù)選擇測(cè)量指標(biāo)的原則，本研究從中挑選出可量化、易測(cè)量、可重復(fù)測(cè)量、有代表性的控制措施，共計(jì)58項(xiàng)作為測(cè)量指標(biāo)，每個(gè)子目標(biāo)有1個(gè)或若干個(gè)測(cè)量指標(biāo)，再根據(jù)權(quán)重方法對(duì)測(cè)量結(jié)果進(jìn)行綜合評(píng)價(jià)［5］。

關(guān)于權(quán)重的設(shè)置，根據(jù)郭錫泉、羅偉其、姚國(guó)祥3位教授、博導(dǎo)在論文《信息安全管理測(cè)量的集成綜合評(píng)價(jià)方法》中的研究成果［8，9］，分別對(duì)11個(gè)控制域權(quán)重進(jìn)行劃分（見表1），并以此為參考，分別對(duì)子目標(biāo)和測(cè)量指標(biāo)設(shè)置權(quán)重。

表1　　信息安全管理域的測(cè)量權(quán)重

3.1安全方針

子目標(biāo)1：依照業(yè)務(wù)要求及相關(guān)法律與法規(guī)，提供管理階層對(duì)信息安全之指引與支持。

測(cè)量指標(biāo)1：方針的評(píng)審時(shí)間間隔

3.2信息安全組織

子目標(biāo)2：在組織內(nèi)管理信息安全。

測(cè)量指標(biāo)2：測(cè)量用于IT安全的投資和用于IT投資的比例

測(cè)量指標(biāo)3：測(cè)量終端使用登記情況

測(cè)量指標(biāo)4：測(cè)量保密協(xié)議的員工簽署情況

測(cè)量指標(biāo)5：測(cè)量?jī)?nèi)部評(píng)審實(shí)施的時(shí)間間隔

測(cè)量指標(biāo)6：測(cè)量組織與政府部門與特定利益團(tuán)體的聯(lián)系頻率

子目標(biāo)3：維持由外部團(tuán)體存取、處理、通信或管理之組織信息與信息處理設(shè)施的安全。

測(cè)量指標(biāo)7：測(cè)量服務(wù)供應(yīng)商簽署保密協(xié)議的情況

3.3資產(chǎn)管理

子目標(biāo)4：達(dá)成并維持組織資產(chǎn)的適當(dāng)保護(hù)。

測(cè)量指標(biāo)8：測(cè)量信息資產(chǎn)的識(shí)別度

子目標(biāo)5：確保信息受到適當(dāng)?shù)燃?jí)的保護(hù)。

測(cè)量指標(biāo)9：測(cè)量已貼標(biāo)識(shí)的終端數(shù)

3.4人力資源安全

子目標(biāo)6：確保聘雇人員、承包商及第三方使用者了解其職責(zé)，并適合其所考慮的角色與降低設(shè)施的竊盜、詐欺或誤用的風(fēng)險(xiǎn)。

測(cè)量指標(biāo)10：測(cè)量有人員檔案、履歷的在職員工數(shù)量

子目標(biāo)7：確保所有聘雇人員、承包商及第三方使用者認(rèn)知信息安全的威脅與關(guān)切議題、其職責(zé)及責(zé)任，并有能力在日常工作中支持組織安全方針與降低人為錯(cuò)誤的風(fēng)險(xiǎn)。

測(cè)量指標(biāo)11：根據(jù)員工經(jīng)過(guò)信息安全培訓(xùn)的人次占比，確定員工的信息安全意識(shí)度

測(cè)量指標(biāo)12：跟據(jù)缺乏安全培訓(xùn)而導(dǎo)致的安全事故，測(cè)量信息安全培訓(xùn)的有效度

測(cè)量指標(biāo)13：測(cè)量制度規(guī)范中禁止行為的懲戒措施覆蓋程度

子目標(biāo)8：確保聘雇人員、承包商及第三方使用者能以有序的方式脫離組織或變更聘雇。

測(cè)量指標(biāo)14：測(cè)量回收訪問權(quán)限的覆蓋程度

3.5物理與環(huán)境安全

子目標(biāo)9：防止組織的作業(yè)場(chǎng)所與信息被未經(jīng)授權(quán)的物理存取、損害及干擾。

測(cè)量指標(biāo)15：測(cè)量機(jī)房物理控制的有效度

測(cè)量指標(biāo)16：測(cè)量火災(zāi)、地震、爆炸的防范措施的有效度

子目標(biāo)10：防止資產(chǎn)的遺失、損害、偷竊或受損，并防止組織活動(dòng)的中斷。

測(cè)量指標(biāo)17：測(cè)量支持性設(shè)施的使用次數(shù)測(cè)量指標(biāo)18：測(cè)量線纜保護(hù)的有效度

測(cè)量指標(biāo)19：測(cè)量報(bào)廢設(shè)備信息刪除有效度

3.6通信與操作安全

子目標(biāo)11：確保正確與安全地操作信息處理設(shè)施。

測(cè)量指標(biāo)20：測(cè)量已文件化操作規(guī)程數(shù)量

子目標(biāo)12：實(shí)施與維持適當(dāng)?shù)燃?jí)之信息安全及服務(wù)交付并能與第三方服務(wù)交付協(xié)議一致。

測(cè)量指標(biāo)21：測(cè)量第三方服務(wù)的評(píng)價(jià)覆蓋度

子目標(biāo)13：使系統(tǒng)失效的風(fēng)險(xiǎn)最小化。

測(cè)量指標(biāo)22：測(cè)量容量管理監(jiān)控指標(biāo)數(shù)量

子目標(biāo)14：保護(hù)軟件與信息的完整性。

測(cè)量指標(biāo)23：測(cè)量受防病毒軟件保護(hù)的信息系統(tǒng)數(shù)量

測(cè)量指標(biāo)24：測(cè)量防病毒軟件升級(jí)的時(shí)效性

測(cè)量指標(biāo)25：測(cè)量防病毒軟件對(duì)病毒的發(fā)現(xiàn)率

子目標(biāo)15：維持信息與信息處理設(shè)施的完整性與可用性。

測(cè)量指標(biāo)26：測(cè)量信息系統(tǒng)備份度

測(cè)量指標(biāo)27：測(cè)量信息系統(tǒng)備份還原測(cè)試數(shù)

子目標(biāo)16：確保網(wǎng)絡(luò)內(nèi)信息與支持性基礎(chǔ)設(shè)施的保護(hù)。

測(cè)量指標(biāo)28：測(cè)量每月網(wǎng)絡(luò)終端違規(guī)外連次數(shù)

測(cè)量指標(biāo)29：測(cè)量每月網(wǎng)絡(luò)終端違規(guī)內(nèi)連次數(shù)

子目標(biāo)17：防止資產(chǎn)被未授權(quán)的揭露、修改、移除或破壞，以及業(yè)務(wù)活動(dòng)的中斷。

測(cè)量指標(biāo)30：測(cè)量一定時(shí)間內(nèi)外來(lái)移動(dòng)設(shè)備私自接入的次數(shù)

子目標(biāo)18：維護(hù)組織內(nèi)及與任何外部組織交換信息與軟件的安全。

測(cè)量指標(biāo)31：測(cè)量違規(guī)內(nèi)外網(wǎng)數(shù)據(jù)交換次數(shù)

子目標(biāo)19：確保電子商務(wù)服務(wù)的安全與其安全的使用。

子目標(biāo)20：偵測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。

測(cè)量指標(biāo)32：測(cè)量終端日志保存符合管理規(guī)定的數(shù)量

測(cè)量指標(biāo)33：測(cè)量時(shí)鐘同步不符合要求的設(shè)備和系統(tǒng)

3.7訪問控制

子目標(biāo)21：控制信息的獲取。

測(cè)量指標(biāo)34：測(cè)量有訪問控制列表的系統(tǒng)數(shù)

子目標(biāo)22：確保授權(quán)使用者對(duì)信息系統(tǒng)的存取與防止未經(jīng)授權(quán)的存取。

測(cè)量指標(biāo)35：測(cè)量設(shè)置錯(cuò)誤權(quán)限的用戶帳號(hào)數(shù)量比例

子目標(biāo)23：防止未經(jīng)授權(quán)的使用者存取及信息與信息處理設(shè)施的泄露或竊盜。

測(cè)量指標(biāo)36：測(cè)量使用不合格口令的用戶數(shù)

測(cè)量指標(biāo)37：測(cè)量每月員工離開電腦時(shí)，未鎖定計(jì)算機(jī)次數(shù)

測(cè)量指標(biāo)38：測(cè)量已按規(guī)定設(shè)置屏幕保護(hù)的終端數(shù)

子目標(biāo)24：防止網(wǎng)絡(luò)服務(wù)被未授權(quán)的存取。

測(cè)量指標(biāo)39：測(cè)量網(wǎng)絡(luò)中已標(biāo)識(shí)的終端數(shù)量（如MAC標(biāo)識(shí)、IP標(biāo)識(shí)、計(jì)算機(jī)名/域名標(biāo)識(shí)等）

測(cè)量指標(biāo)40：測(cè)量組織內(nèi)相互獨(dú)立的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)量（如互聯(lián)網(wǎng)、單位內(nèi)網(wǎng)、政務(wù)外網(wǎng)、政務(wù)內(nèi)網(wǎng)、保密網(wǎng)）等

子目標(biāo)25：防止操作系統(tǒng)被未授權(quán)存取。

測(cè)量指標(biāo)41：測(cè)量有弱口令過(guò)濾規(guī)則的信息系統(tǒng)

測(cè)量指標(biāo)42：測(cè)量有會(huì)話超時(shí)和聯(lián)機(jī)時(shí)間限時(shí)功能的信息系統(tǒng)

子目標(biāo)26：防止應(yīng)用系統(tǒng)中的信息被未經(jīng)授權(quán)的存取。

測(cè)量指標(biāo)43：測(cè)量信息系統(tǒng)用戶權(quán)限分配與其訪問控制列表要求一致的數(shù)量

子目標(biāo)27：確保在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)信息的安全。

測(cè)量指標(biāo)44：測(cè)量因移動(dòng)計(jì)算造成的安全事件數(shù)量

3.8信息系統(tǒng)獲取、開發(fā)及維護(hù)

子目標(biāo)28：確保信息系統(tǒng)的安全是完整的。

測(cè)量指標(biāo)45：測(cè)量系統(tǒng)建設(shè)時(shí)有書面安全需求的應(yīng)用系統(tǒng)數(shù)量

子目標(biāo)29：防止應(yīng)用系統(tǒng)內(nèi)信息的錯(cuò)誤、遺失、未授權(quán)修改或誤用。

測(cè)量指標(biāo)46：測(cè)量獲取的數(shù)據(jù)錯(cuò)誤情況

子目標(biāo)30：通過(guò)加密手段來(lái)保護(hù)細(xì)膩的保密性、真實(shí)性或完整性應(yīng)該制定使用密碼的策略。密鑰管理應(yīng)該支持使用密碼技術(shù)。

測(cè)量指標(biāo)47：測(cè)量使用密鑰的系統(tǒng)中密鑰數(shù)量與用戶數(shù)量的占比

子目標(biāo)31：確保系統(tǒng)文件的安全。

測(cè)量指標(biāo)48：測(cè)量安裝軟件白名單之外軟件的情況

子目標(biāo)32：維持應(yīng)用系統(tǒng)軟件與信息的安全。測(cè)量指標(biāo)49：測(cè)量系統(tǒng)變更的測(cè)試情況

子目標(biāo)33：降低因所使用已公布技術(shù)的脆弱性而導(dǎo)致的風(fēng)險(xiǎn)。

測(cè)量指標(biāo)50：測(cè)量已更新最新補(bǔ)丁的系統(tǒng)占比

測(cè)量指標(biāo)51：測(cè)量受防火墻保護(hù)的信息系統(tǒng)數(shù)量

3.9信息安全事件管理

子目標(biāo)34：確保能夠采取及時(shí)矯正措施的方式，傳達(dá)與信息系統(tǒng)有關(guān)的信息安全事件與弱點(diǎn)。

測(cè)量指標(biāo)52：測(cè)量年度信息安全事故數(shù)量

測(cè)量指標(biāo)53：測(cè)量信息安全事故數(shù)量與事故發(fā)生區(qū)域員工的比例

子目標(biāo)35：確保應(yīng)用一致與有效的方案于信息安全事件的管理。

測(cè)量指標(biāo)54：測(cè)量已有安全事故調(diào)查與總結(jié)的信息安全事故的比例

3.10業(yè)務(wù)連續(xù)性管理

子目標(biāo)36：防止業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不會(huì)受信息系統(tǒng)重大失效或自然災(zāi)害的影響，并確保他們的及時(shí)恢復(fù)。

測(cè)量指標(biāo)55：測(cè)量有緊急情況處理流程（應(yīng)急預(yù)案）的信息系統(tǒng)的比例

測(cè)量指標(biāo)56：測(cè)量信息系統(tǒng)的可用性

3.11符合性

子目標(biāo)37：避免違反任何法律、法規(guī)或合約義務(wù)，以及任何安全要求。

測(cè)量指標(biāo)57：測(cè)量安裝正版軟件的實(shí)施度

子目標(biāo)38：確保系統(tǒng)符合組織的安全政策與標(biāo)準(zhǔn)。

測(cè)量指標(biāo)58：測(cè)量對(duì)信息系統(tǒng)進(jìn)行技術(shù)檢測(cè)的次數(shù)

子目標(biāo)39：使信息系統(tǒng)審核過(guò)程的有效性最大化，并使其受到的干擾最低。

測(cè)量指標(biāo)59：測(cè)量審計(jì)活動(dòng)（風(fēng)險(xiǎn)評(píng)估、內(nèi)審、有效性測(cè)量等）提前通知相關(guān)部門天數(shù)

4　應(yīng)用實(shí)例

由于篇幅限制，無(wú)法對(duì)59個(gè)測(cè)量指標(biāo)的數(shù)據(jù)采集方法、計(jì)算公式和權(quán)重一一說(shuō)明。下面以“3.7訪問控制”過(guò)程及其子目標(biāo)21“訪問控制的業(yè)務(wù)要求”和子目標(biāo)23“使用者責(zé)任”為例，說(shuō)明信息安全管理測(cè)量指標(biāo)體系的數(shù)據(jù)采集方法、計(jì)算公式和權(quán)重。

4.1“訪問控制”過(guò)程子目標(biāo)、測(cè)量指標(biāo)及權(quán)重

由表1得知，“訪問控制”過(guò)程在整個(gè)信息安全體系中的權(quán)重為15.59%，其7個(gè)子目標(biāo)和11個(gè)測(cè)量指標(biāo)及權(quán)重見表2。

表2　　“訪問控制”過(guò)程子目標(biāo)、測(cè)量指標(biāo)及權(quán)重

（續(xù)表2）

4.2子目標(biāo)21“訪問控制的業(yè)務(wù)要求”

由表2可知，子目標(biāo)21“訪問控制的業(yè)務(wù)要求”目標(biāo)在“訪問控制”過(guò)程中的權(quán)重為25%，只有1個(gè)測(cè)量指標(biāo)“訪問控制策略”，這個(gè)測(cè)量指標(biāo)對(duì)子目標(biāo)實(shí)現(xiàn)的權(quán)重為100%。

具體測(cè)量?jī)?nèi)容：測(cè)量有訪問控制列表的系統(tǒng)數(shù)（如各共享數(shù)據(jù)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、物理等）。

測(cè)量時(shí)間：實(shí)時(shí)測(cè)量。

計(jì)算方法：有訪問控制列表的系統(tǒng)數(shù)/需要設(shè)置訪問控制測(cè)量的系統(tǒng)數(shù)×100%。

測(cè)量閥值：100%。

假設(shè)需要設(shè)置訪問控制列表的系統(tǒng)數(shù)量為10個(gè)，已經(jīng)設(shè)置了10個(gè)，則該指標(biāo)測(cè)量項(xiàng)的測(cè)量值為100%，測(cè)量閥值也是100%，滿足閥值，該測(cè)量項(xiàng)達(dá)成。由于測(cè)量目標(biāo)1只有這一個(gè)測(cè)量項(xiàng)，則該測(cè)量目標(biāo)達(dá)成。

綜合計(jì)算該測(cè)量項(xiàng)對(duì)整個(gè)信息安全管理體系的影響的方法為：訪問控制過(guò)程的權(quán)重×訪問控制業(yè)務(wù)要求目標(biāo)的權(quán)重×測(cè)量指標(biāo)的權(quán)重，即15.59%× 25%×100%=4%

4.3子目標(biāo)23“使用者責(zé)任”

由表2可知，子目標(biāo)23“使用者責(zé)任”目標(biāo)在“訪問控制”過(guò)程中的權(quán)重為12.5%，其有3個(gè)測(cè)量指標(biāo)“用戶口令”、“操作鎖定”、“屏幕保護(hù)”，這3個(gè)指標(biāo)對(duì)目標(biāo)實(shí)現(xiàn)的權(quán)重分別為50%、25%、25%。

（1）用戶口令。

具體測(cè)量?jī)?nèi)容：測(cè)量使用不合格口令的用戶數(shù)，實(shí)時(shí)測(cè)量。

測(cè)量時(shí)間：實(shí)時(shí)測(cè)量。

計(jì)算方法：使用不合格口令的員工數(shù)/員工總數(shù)×100%。

測(cè)量閥值：≤10%。

假設(shè)員工總數(shù)為100人，使用不合格口令（口令長(zhǎng)度不符合、口令復(fù)雜度不符合等）人數(shù)為5人，則該指標(biāo)測(cè)量項(xiàng)的測(cè)量值為5%，測(cè)量閥值為≤10%，滿足閥值，該測(cè)量項(xiàng)達(dá)成。

（2）操作鎖定。

具體測(cè)量?jī)?nèi)容：測(cè)量一定周期內(nèi)員工離開電腦時(shí)，未鎖定計(jì)算機(jī)次數(shù)。

測(cè)量時(shí)間：每月測(cè)量。

計(jì)算方法：未鎖定計(jì)算機(jī)次數(shù)/員工總數(shù)× 100%。

測(cè)量閥值：≤50%/月。

假設(shè)員工總數(shù)為100人，當(dāng)月共發(fā)現(xiàn)員工離開電腦時(shí)未鎖定計(jì)算機(jī)次數(shù)為46次，則該指標(biāo)測(cè)量項(xiàng)的測(cè)量值為46%，測(cè)量閥值為≤50%，滿足閥值，該測(cè)量項(xiàng)達(dá)成。

（3）屏幕保護(hù)。

具體測(cè)量?jī)?nèi)容：測(cè)量已按規(guī)定設(shè)置屏幕保護(hù)的終端數(shù)。

測(cè)量時(shí)間：實(shí)時(shí)測(cè)量。

計(jì)算方法：已按規(guī)定設(shè)置屏保終端/終端總數(shù)× 100%。

測(cè)量閥值：≥90%。

假設(shè)公司內(nèi)終端電腦總數(shù)為100臺(tái)，已按規(guī)定設(shè)置屏保終端數(shù)為98臺(tái)，則該指標(biāo)測(cè)量項(xiàng)的測(cè)量值為98%，測(cè)量閥值為≥90%，滿足閥值，該測(cè)量項(xiàng)達(dá)成。

（4）計(jì)算。

綜合計(jì)算3個(gè)測(cè)量項(xiàng)對(duì)整個(gè)信息安全管理體系的影響的方法為：訪問控制過(guò)程的權(quán)重×使用者責(zé)任目標(biāo)的權(quán)重×測(cè)量指標(biāo)的權(quán)重，即：

“用戶口令”對(duì)整個(gè)體系的影響值=15.59%× 12.5%×50%=1%

“操作鎖定”對(duì)整個(gè)體系的影響值=15.59%× 12.5%×25%=0.5%

“屏幕保護(hù)”對(duì)整個(gè)體系的影響值=15.59%× 12.5%×25%=0.5%

通過(guò)以上方法，將所有的59項(xiàng)測(cè)量指標(biāo)得分相加，即可將信息安全管理體系整體有效性進(jìn)行量化評(píng)價(jià)。

5　結(jié)論

本項(xiàng)目研究了信息安全管理測(cè)量與評(píng)價(jià)問題，得到59項(xiàng)具體的測(cè)量指標(biāo)，用于將組織的信息安全管理水平以一個(gè)百分比的數(shù)值進(jìn)行量化。通過(guò)對(duì)信息安全管理體系有效性的量化，可以幫助管理者更好掌握組織信息安全管理水平現(xiàn)狀，作為信息安全管理績(jī)效考核的依據(jù)，計(jì)算信息安全管理措施的投資回報(bào)率，以及發(fā)現(xiàn)信息安全管理中的關(guān)鍵不足，積極采取有效控制措施，有利于組織的信息安全管理體系更加完善，對(duì)通過(guò) ISO27001認(rèn)證和實(shí)施ISO27001管理的組織有很好的參考性。

［1］GB/T 22080 2008/ISO/1EC27001：2005信息技術(shù)安全技術(shù) 信息安全管理體系 要求［S］.

［2］曲暉，李建平，魏軍，等.質(zhì)檢行業(yè)信息安全管理有效性測(cè)量［J］.質(zhì)量與認(rèn)證，2014，02：47-49.

［3］程瑜琦，朱博，李旭，等.信息安全管理體系控制措施有效性測(cè)量概述［J］.質(zhì)量與認(rèn)證，2014，02：40-42.

［4］朱英菊，陳長(zhǎng)松.信息安全管理有效性測(cè)量［J］.信息網(wǎng)絡(luò)安全，2009，01：87-88.

［5］朱英菊，劉紅麗，陳長(zhǎng)松.信息安全管理有效性的測(cè)量研究［J］.情報(bào)雜志，2010，29（1）：73-76.

［6］ISO/IEC 27004：2009信息技術(shù)安全技術(shù) 信息安全管理測(cè)量［S］.

［7］GB/T 22081-2008/ISO/IEC27002：2005信息技術(shù)安全技術(shù) 信息安全管理實(shí)用規(guī)則［S］.

［8］郭錫泉，羅偉其，姚國(guó)祥.信息安全管理測(cè)量的集成綜合評(píng)價(jià)方法［J］.計(jì)算機(jī)工程與應(yīng)用，2011，47（10）：75-77.

［9］郭錫泉、羅偉其、姚國(guó)祥.開放可伸縮的信息安全管理測(cè)量評(píng)價(jià)體系［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2012，33（4）：1275-1279.

Measure of Effectiveness and Study on Evaluation Indicator for the Information Security Management System

LU Ting1，CHEN Duosi2
（1.Changzhou Entry-Exit Inspection and Quarantine Bureau，Changzhou，Jiangsu，213022；2.China Information Security Certification Center-Jiangsu Center）

This essay sets up one or more measurement indicators through disintegrating information security objects into 11 aspects and 39 subunit objectives，each of which as one measuring objective.And then to propose the integrated measuring evaluation model for the information security management through weight analysis and comprehensive evaluation so that the effectiveness of the information security objective is quantified to a percentage number which may assist the managers to control the information securitymanagementsituationoftheirorganizations，checktheshortageduringthemanagementof information security before they take effective control measures and make the management system for information security more perfect.

Quantitative Management of Information Security；Measure of Effectiveness；Measuring Model；Indicator System；Weight Analysis；Comprehensive Evaluation

TN91

E-mail：lut@jsciq.gov.cn

江蘇出入境檢驗(yàn)檢疫局科研項(xiàng)目 （2013KJ48）

2015-08-03