董亦兵

一、ISO/IEC 27004：2016介紹

ISO/IEC 27004：2016由ISO/IEC于2016年12月15日發(fā)布了第二版，標準中文名稱為“信息技術(shù)-安全技術(shù)-信息安全管理-監(jiān)測、測量、分析和評價”，旨在協(xié)助組織評估ISMS的有效性，以滿足ISO/IEC：2013，9.1：監(jiān)視、測量、分析和評估要求。ISO/IEC 27004：2016通過一系列的指標用來評價組織ISMS的有效性，并通過系統(tǒng)性的測量方法支撐評估過程。下面簡要介紹測量要素間的關(guān)系和ISO/IEC 27004：2016的測量指標體系。

（一） 測量要素間的關(guān)系

根據(jù)ISO/IEC 27004：2016標準，ISMS有效性測量工作分為監(jiān)控、測量、分析和評價四個環(huán)節(jié)。測量要素間的關(guān)系如下：

第一，應(yīng)明確測量需求。測量需求應(yīng)反映信息安全管理關(guān)鍵流程、關(guān)鍵活動、關(guān)鍵控制的有效性，能折射管理成熟度。第二，在明確測量需求基礎(chǔ)上，確定測量對象（實體），并選取測量對象適當?shù)膶傩赃M行監(jiān)控。測量對象屬性應(yīng)與測量目的保持一致，以滿足測量需求。第三，采取適當?shù)臏y量方法實施測量，包括基礎(chǔ)測量和派生測量。定義適當?shù)臏y度，通過對屬性的度量，形成基礎(chǔ)測量結(jié)果。圍繞測量目的和測量需求，設(shè)計恰當?shù)臏y量函數(shù)，將多個基礎(chǔ)測量結(jié)果進行結(jié)合，形成派生測量結(jié)果。第四，設(shè)計測量指標。測量指標能直觀反映測量需求，通常通過建立分析模型，將測量指標劃分為若干區(qū)間，不同區(qū)間能反映測量對象在控制有效性方面的強弱。第五，對測量對象進行評價。對測量指標進行解釋，使得測量結(jié)果能夠恰當反饋測量需求。

（二） ISO/IEC 27004：2016測量指標體系

ISO/IEC 27004：2016附錄B提供了一個標準的指標體系實例，用于測量組織ISMS是否符合ISO/IEC 27001：2013。ISO/IEC 27004：2016共包含35個指標（從B.2到B.36），每個指標與ISO/IEC 27001：2013的控制要求進行了映射，如下表所示：

然而ISO/IEC 27004：2016的測量指標主要以ISO/ IEC 27001：2013為基礎(chǔ)，組織在建設(shè)ISMS過程中，在參考ISO/IEC 27001：2013的同時，需要考慮國內(nèi)相關(guān)法律法規(guī)、監(jiān)管要求等因素，同時考慮多體系融合，ISMS比起單一ISO/IEC27001：2013更為復(fù)雜，測量指標設(shè)計也應(yīng)充分考慮對組織的適用性。

二、ISMS有效性測量設(shè)計

（一） 有效性測量的前提

建立完善的ISMS是信息安全管理體系測量的首要條件之一。ISMS不僅為信息安全管理工作提供制度依據(jù)，也同時為ISMS有效性測量框架設(shè)計的基礎(chǔ)。

從有效性測量的角度出發(fā)，完善的信息安全管理體系應(yīng)包括以下特征：

合規(guī)性：信息安全管理體系應(yīng)滿足外部法律法規(guī)、監(jiān)管要求、合同協(xié)議要求及主管部門或投資方、內(nèi)部控制等方面的要求。

適度安全：應(yīng)建立統(tǒng)一的信息安全策略，確立信息安全頂層方針、策略和控制目標，在確?？腕w安全可控基礎(chǔ)上，平衡安全與效率的矛盾。

明確客體控制要求：識別重要客體，如數(shù)據(jù)中心、重要信息、軟硬件等，對客體進行分級分類，明確不同類別、不同級別客體的控制要求。

明確主體責任：在梳理IT資產(chǎn)的基礎(chǔ)上，明確不同IT資產(chǎn)的信息安全控制責任，同時應(yīng)明確高級管理層、各部門、重要崗位的信息安全責任，授權(quán)合理、責任明確。

采用技術(shù)控制手段，提高信息安全控制效率和效果。

明確重要活動流程：如信息安全事件處理流程、信息安全資產(chǎn)管理流程等。

建立完善的應(yīng)急預(yù)案，定期開展演練。

建立評估與評價體系，確保信息安全體系持續(xù)改進。

（二） 有效性測量的目的和意義

明確測量的目的和意義是設(shè)計測量模型的前提條件之一，測量的指標應(yīng)圍繞測量目的開展。信息安全有效性測量應(yīng)與信息安全檢查、信息安全績效評價目的不同，雖然三者有一定聯(lián)系，甚至互為輸入，但測量模型應(yīng)反映測量的目的。

信息安全檢查的目的：主要利用科學的抽樣、檢查、技術(shù)檢測等技術(shù)，評估信息安全控制措施的有效性。檢查的輸入項通常是信息安全管理體系要求，檢查對象為主體的履職情況、客體的控制效果，識別控制缺陷和薄弱環(huán)節(jié)。

信息安全管理體系有效性測量的目的：測量的客體為信息安全管理體系，主要通過對一系列的指標和模型的測量，檢驗信息安全管理體系是否有效，通常包括本文前面所描述的合規(guī)性、適度安全等要素，信息安全有效性測量是信息安全管理體系完善的主要依據(jù)之一。

信息安全績效評價的目的：主要評價管理主體的履職績效，評價對象為信息安全管理主體履行信息安全管理活動的態(tài)度、履職情況、履職效果、目標（KRI，即關(guān)鍵風險指標）完成情況。

（三） 有效性測量的需求

信息安全管理有效性測量，通常包含過程指標和結(jié)果指標兩類。過程指標反映信息安全管理過程、管理環(huán)節(jié)、管理活動的有效性指標，包括過程的效率效果性、經(jīng)濟性、合理性、合規(guī)性等。結(jié)果指標反映信息安全管理結(jié)果的有效性指標，包括安全事件發(fā)生是否超過了容忍限度、核心系統(tǒng)可用性指標、人員傷亡指標、數(shù)據(jù)泄密指標等。

（四） 有效性測量模型的設(shè)計

1、 測量需求

首先應(yīng)明確測量需求，包括確定ISMS控制目標，并基于控制目標設(shè)計測量指標和確定測量對象。測量指標應(yīng)能反映控制目標，選取關(guān)鍵控制活動和控制環(huán)節(jié)。

2、 測量方法

其次應(yīng)確定測量方法，包括選取測量對象的屬性和測度，確定測量方法（含基礎(chǔ)測量和派生測量），結(jié)合工作實際，確定測量頻度。

3、 測量基準

第三，確定測量基準，可以劃分為可以接受區(qū)域、預(yù)警區(qū)域和不可接受區(qū)域，用于對實際測量結(jié)果的參考。

4、 測量結(jié)果

最后，形成測量結(jié)果后，與測量基準進行比較，形成初步測量結(jié)果。對測量結(jié)果進行復(fù)核和與責任方進行溝通，確定最終的測量結(jié)果。

三、有效性測量案例分析

筆者結(jié)合組織信息安全控制目標，設(shè)計了一套基于控制目標的信息安全控制目標有效性測量指標體系。如下表所示：

（二） 指標分析與評價

完成上表測量工作后，ISMS的有效性測量工作就完成了絕大部分工作，只剩下最后一項活動，即指標分析和評價活動。指標分析和評價活動需要從風險視角分析一個指標存在多個屬性時，怎樣判斷指標的有效性。以上表中“信息安全方針的評審”指標為例，該指標包含了“定期開展方針評審活動”和“不符合項整改率”兩個屬性的測量結(jié)果，符合怎樣的情形時該項指標才能判斷為“控制有效”。從理論上測量結(jié)果包括九種可能性，如下圖所示：

如果某個指標包含的屬性更多時，指標分析和評價過程會變得非常復(fù)雜。為了簡化分析和評價過程，通常可以約定同一測量指標中多個屬性的測量結(jié)果同時為“可接受區(qū)域”時，該指標才可判定為“控制有效”，其他情形均判定為“控制無效”。實際在指標分析和評價過程中，可以根據(jù)每個屬性指標的權(quán)重和風險暴露程度實施分析與評價。

四、結(jié)束語

作為國際標準ISO/IEC 27001：2013，提供了一個ISMS框架，為組織建設(shè)ISMS提供了參考，ISO/IEC 27004：2016為滿足ISO/IEC 2700：2013 “9.1：監(jiān)視、測量、分析和評價要求”條款提供了一個ISMS有效性測量框架。然而組織在貫標ISO/IEC 27001：2013的過程中并不會完全遵照標準要求建立ISMS，因國家法律法規(guī)、行業(yè)監(jiān)管要求、企業(yè)自身組織治理等因素不同，組織建設(shè)的ISMS也不近相同，所以ISMS有效性測量方法也不能完全照搬ISO/IEC 27004：2016進行實施。本文作者全面剖析了ISMS有效性測量設(shè)計方法，并分享了設(shè)計案例，為讀者朋友提供學習和參考。編寫過程中難免有不足之處，歡迎讀者朋友多提寶貴意見。