李堯

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

1 引言

隨著企業(yè)對信息安全工作重視程度的日益提升，不少企業(yè)都實施了基于ISO/IEC 27001：2005的信息安全管理體系（ISMS）來保護企業(yè)的重要信息。但是體系建立起來的一段時間之后，不少管理者就會有這樣的疑問： “這些控制措施是否依然有效？怎么去證明它們的效果？”這就引出了我們的問題：如何對ISMS的有效性進行測量？

在ISO/IEC 27001:2005的4.2.2中要求，在實施和運行ISMS的過程中要定義有效性測量方案及結果是如何使用的；4.2.3中又要求定期對ISMS的有效性進行評審以及通過對控制措施的有效性測量來檢驗安全需求是否被滿足；最后在7.2中將有效性測量的結果作為ISMS管理評審的一個輸入內容單獨列成了一項。上述內容在ISO/IEC 27001：2005中都是正文部分的要求，也就是不可刪減的內容，這些足以說明有效性測量對ISMS體系的重要程度。

針對這種情況，國際標準化組織（ISO）在2009年發(fā)布了ISO/IEC 27004：2009（信息技術-安全技術–信息安全管理測量）標準，為如何建立及測量ISMS及其控制措施提供了指導性建議。下面我們依照ISO/IEC 27004：2009的指導來分析一下如何對ISMS的有效性進行測量。

2 為什么要對ISMS的有效性進行測量

在建立了ISMS體系之后，很多人都以為這樣就萬事大吉了，可以高枕無憂地待在安全的ISMS中了，但是殊不知這種想法正是最大的隱患。試想想PDCA中建立ISMS體系的過程占了整個PDCA的多大比重？P、D才50%，另外的50%呢？當然是對體系進行不斷的改善和提高，信息安全沒有100%的安全，技術在不斷地進步，我們的ISMS也需要不斷地調整來適應新的技術和新的環(huán)境。

這么多的控制措施，要是每次調整都對整個體系的每項控制措施進行改善工作，那么工作量就太大了，其中不少的內容其實是沒有必要經(jīng)常改進的，例如：對于使用哪款防火墻或殺毒軟件大可不必進行頻繁的評估，每個月都想著是不是要換軟件是沒有必要的；此外，在控制措施的變更過程中也存在一定的風險，可能會由于微小的調整帶來更大的風險，這樣就得不償失了，還是上面的例子：一有新的殺毒軟件面世就要更換的話，工作量先不說，新軟件的兼容性及不穩(wěn)定性帶來的危險是不得不考慮的。那么到底是調整還是不調整呢？答案當然是肯定的，但是要注意的是調整什么以及在什么時候調整。

2.1 檢驗ISMS控制措施的效果（驗證安全需求是否被滿足）

組織在建立ISMS的時候都會以組織業(yè)務的發(fā)展目標和各利益相關方的安全要求作為信息安全管理體系目標的重要參考，為了達到這些目標，通過對ISO/IEC 27001：2005附錄A中的11個控制項、39個控制目標和133個控制措施的執(zhí)行，盡量降低組織所面臨的各種信息安全風險。在實施和運行這些控制措施的過程中，難免會出現(xiàn)各種各樣的變化，包括由于組織業(yè)務的增長帶來的新的安全隱患；由于組織架構的調整引起的風險的轉移；由于法律法規(guī)的重大變更導致的信息安全管理體系的不符合性等問題。在實際的體系運行過程中，對這些問題的意識和發(fā)現(xiàn)過程可能并不如想象中的簡單和直接，不少變化可能在問題出現(xiàn)之后才被發(fā)現(xiàn)，就像對待疾病一樣，預防永遠勝過治療，我們也需要及時地發(fā)現(xiàn)這些變化帶來的潛在問題，同時爭取做到提前預防從而將風險帶來的影響控制在可接受的范圍內。這也就是為什么我們光裝個殺毒軟件并不解決問題，還需要定期地更新病毒庫和升級軟件版本來抵御更新的病毒技術。所以，通過對ISMS進行定期的有效性測量來檢驗已實施的控制措施是否都還適用和有效，也就是確認我們的安全需求是否都有合適的措施來滿足。

2.2 信息安全管理工作的績效考核

第二個方面需要通過有效性測量來達到目的的是信息安全管理工作的績效考核。投入自然希望看到產(chǎn)出，傳統(tǒng)的信息安全管理方式只有投入，對于產(chǎn)出，大多數(shù)技術人員的回答就是 “沒有安全事故就是最好的效果”，但是，殊不知領導們希望看到的是發(fā)生了什么，而不是什么都沒發(fā)生。通過ISMS的有效性測量可以給管理者數(shù)據(jù)方面的支持，讓其能直觀地理解ISMS體系的實際效果，同時也可以通過對相關指標的對比和檢查來展示ISMS管理工作人員的工作績效。例如：不少管理者都對防火墻這個東西不太相信，總覺得有殺毒軟件就行了，有問題都是殺毒軟件先跳出來，但是他們不知道的是每天防火墻抵御了幾百上千次的網(wǎng)絡攻擊和惡意掃描，這個時候就需要通過一系列的數(shù)字來體現(xiàn)防火墻的功效了。

以上這個道理同樣適用于我們的客戶和ISMS體系的管理工作者，他們一樣也需要某種直觀的方式來了解ISMS的工作狀況以及所帶來的效果：客戶希望看到自己的供應商在這方面的工作卓有成效，能很好地保護他們的信息資產(chǎn)；管理工作者也期待自己的辛勤工作能有回報，體現(xiàn)出自己對組織的價值從而增強工作的積極性。

2.3 為ISMS改進提供重要的依據(jù)

最后一點是，有效性測量的結果能給ISMS改進提供重要的參考信息和改進依據(jù)。對ISMS的改進需要有目的地進行，在133個控制措施中，需要調整和改進的措施不在少數(shù)，但是如何確定哪些優(yōu)先級更高，當然需要量化的指標來排序，那么這些量化的指標就是通過有效性測量來獲得。同時，通過這些測量的指標還能給ISMS的改進指出合適的時間，也就是可以對ISMS體系的運行情況可以做出趨勢分析，以找出最佳的調整時機。

3 怎樣建立有效性測量體系

ISO/IEC 27004：2009標準的第7章介紹了建立ISMS有效性測量體系的主要流程，包括：識別信息需求、選擇測量對象和測量屬性以及形成測量構想。圖1展示了有效性測量體系中的各個部分是如何聯(lián)系在一起的：

3.1 識別信息需求

要對ISMS的有效性進行測量，首先我們需要參考組織的業(yè)務目標以及當前ISMS的運作情況來識別出信息需求，也就是我們想知道什么信息。在確定信息需求的時候可以將相關人員的反饋及過去發(fā)生的信息安全事件考慮進去。同時要注意信息需求的數(shù)量要控制在一定的限度內，以控制測量需要花費的時間以及報告中測量結果的數(shù)量，從而使管理層在參看報告并做決定的過程中不至于被太多的信息分散了應該關注的重點。

對于信息需求的識別可以通過以下活動來發(fā)現(xiàn)：

1）檢查ISMS方針和目標、控制目標和控制措施；

2）參照法律法規(guī)的規(guī)定和合同以及組織在信息安全方面的要求；

3）信息安全風險管理過程的輸出，例如：風險評估報告、殘余風險處理情況等。

識別出主要的信息需求之后再對其進行優(yōu)先級排序，參考標準有以下內容：

1）風險處置優(yōu)先級；

2）組織的能力和資源；

3）利益相關人的關注點；

4）信息安全策略；

5）滿足法律法規(guī)及合同要求的信息需求；

6）信息的價值與測量的成本之間的關系。

排好優(yōu)先順序之后需要從中挑選出合適的需求，并將文檔化的信息需求傳遞給相關的人員。

3.2 選擇測量對象和測量屬性

既然確定了我們需要獲取的是什么信息，接下來就應該找出能體現(xiàn)這些信息的關鍵目標，也就是這里說的測量對象，例如：

1）產(chǎn)品和服務；

2）流程；

3）組織資產(chǎn)（ISO 27001中識別出的資產(chǎn)）；

4）業(yè)務單元；

5）地理位置；

6）第三方服務。

要獲得測量對象的相關狀態(tài)就要對其某方面的屬性進行測量。從圖1中我們可以看出一個測量對象可以有多個測量屬性，在有需要的情況下可考慮對同一測量對象的多個屬性同時測量。

對測量屬性的選擇時應考慮以下方面：

1）相關的測量方法應當能被識別；

2）測試結果應當有意義；

3）測量數(shù)據(jù)獲得的困難程度不應太高；

4）挑選測量屬性時不應首先考慮測量的難易度；

5）是否有足夠的人手和資源去收集和處理數(shù)據(jù)；

圖1 信息安全測量體系模型

6）測量結果不應太難描述；

7）測量目標是否滿足測量目的或信息需求；

8）數(shù)據(jù)采集、管理和分析的成本。

選定的測量屬性決定了基本測量應當采用何種方法，同時要對測量對象、測量屬性以及選擇原理進行文檔化，以確保未來測量的可重現(xiàn)性和可比較性。

比較常見的測量對象（以及對應的測量屬性）有：

1）惡意軟件防護（部門計算機病毒感染次數(shù)、惡意軟件導致的事件）；

2）網(wǎng)絡安全管理（由于網(wǎng)絡故障導致的業(yè)務中斷次數(shù)）；

3）人力資源安全（保密協(xié)議簽訂率、員工參加信息安全入職培訓百分比、員工對ISMS體系理解程度）；

4）業(yè)務連續(xù)性管理（因信息安全事件導致的客戶投訴次數(shù)、故障計算機及時處理率）；

5）信息和信息處理設施的完整性及可用性（重要信息備份及時率、容量不足而造成的工作延遲次數(shù)）；

6）ISMS審核流程（內部審核不符合整改率）；

7）訪問控制（門禁系統(tǒng)日志檢查報警次數(shù)，來訪人員登記百分比）；

8）信息系統(tǒng)安全（信息處理設施維護率）；9）第三方服務管理（第三方服務次數(shù)）；10）口令策略（計算機口令強度符合率）。

3.3 形成測量構想

經(jīng)過以上3個步驟之后，已經(jīng)挑選出需要實際測量的東西（也就是測量屬性），接下來需要設計的就是如何對挑選出的測量屬性進行測量。

再來參照圖1，首先我們需要設計一套測量方法，通過主觀或客觀的方法來對挑選出的測量屬性進行基本測量；基本測量時需要注意的有以下內容：

1）要有合適的標尺，將測量的結果適當?shù)亓炕?/p>

2）要有確認過程，以確保測量的過程是與設計的過程保持一致；

3）應當考慮測量方法的精確度并記錄其誤差；

4）測量方法在一定的時間內應當保持穩(wěn)定，確保測量結果的可比較性。

其次通過各種分析方法（例如：取平均值、使用權重法分析或定性分析）對基本測量的結果進行處理，并生成衍生測量。衍生測量和基本測量的結果通過分析模型產(chǎn)生指標性的結果，這些結果可以被當作測量的結果來使用，也可以與決策標準對照而產(chǎn)生正式的測量報告并傳送到相關人員的手中。

一般的測量構想中應至少包含以下內容：

1）測量的目的；

2）測量的控制措施、ISMS流程等目標；

3）測量對象；

4）需要收集和被使用的數(shù)據(jù)；

5）數(shù)據(jù)收集和分析的流程；

6）測量結果的報告流程和格式；

7）相關人的角色和職責；

8）確保測量體系對相關的信息需求有效的審核循環(huán)。

到這里，PDCA的P已經(jīng)完成了，下面來看看DCA過程。

4 ISMS有效性測量體系的運行及改進

4.1 測量過程

依照第3節(jié)內容建立的有效性測量體系在實際的操作過程中需要確保能夠獲得足夠準確的信息來驗證ISMS的有效性。測量的過程主要是指數(shù)據(jù)的收集、存儲和驗證；收集是指定期通過設定的測量方法來收集要求的數(shù)據(jù)，存儲是指對包括日期、地點、收集人、信息所有者以及信息收集過程中發(fā)生的事件的文檔化，最后是對所收集的數(shù)據(jù)進行驗證和測量確認。在測量過程中，測量數(shù)據(jù)的客觀、準確應當被當作重點內容來對待，盡量避免操作者測量自己的工作，以確保后續(xù)流程不會受到測量的影響；在測量結果的記錄時也應將測量過程中產(chǎn)生的誤差等因素考慮進去。

4.2 數(shù)據(jù)分析和結果計算

接下來需要對測量的數(shù)據(jù)進行處理，這一步驟包含2個活動：

1）分析測量數(shù)據(jù)并產(chǎn)生結果；

2）與相關人員溝通測量結果。

在數(shù)據(jù)的分析過程中可以先對數(shù)據(jù)進行整合、轉換等操作，之后再使用各種計算方法或工具產(chǎn)生指標性的結果。通過指標性的結果分析出實際測量值與期望值之間的差距，并通過該差距發(fā)現(xiàn)ISMS中需要改進的方面（包括范圍、策略、目標、控制措施、流程和程序等）。

ISO/IEC 27004：2009中認為導致實測值和期望值之間差距的原因主要是風險評估的失敗和風險處置計劃未實施或實施有漏洞所產(chǎn)生的，這里也印證了我們建立ISMS的主要工作就是評估風險和處置風險。

結果產(chǎn)生了，自然需要通過報告的形式提交給相關的人員使用，這里由于是對ISMS體系的驗證，所以更多的是在組織內部使用該結果，如果需要分發(fā)給外部使用時，應當先對報告中的敏感信息進行處理，同時管理層和相關方需要審批才能提交給組織外部的相關人員。

4.3 信息安全測量程序的評估和改進

測量的結果產(chǎn)生了，要保證測量結果的有效性和適用性，接下來需要實施評估和改進措施對有效性測量體系本身進行評價和調整了。評價的原則是要判斷該體系是否還有效，以及產(chǎn)生的結果是否滿足相關的信息需求。對于測量體系的評價常用的標準包括：

1）組織業(yè)務目標的變更情況；

2）信息安全相關的法律法規(guī)和合同要求的變更情況；

3）組織的信息安全要求的變更情況；

4）組織的信息安全風險的變更情況；

5）有效或合適的測量數(shù)據(jù)及測量方法的增加；

6）測量對象和測量屬性的變化情況。對于測量結果的評價常用標準包括：

1）測量結果的易懂性，測量結果提交的及時性以及測量結果的客觀性、可比較性和可重現(xiàn)性；

2）對測量結果產(chǎn)生過程是否有完善的定義、操作的難易程度以及是否嚴格遵照定義的流程；

3）測量結果對于改進ISMS的實用性；

4）測量結果與相應的信息需求是否想對應。

依照以上內容對有效性測量體系進行評價之后，對于不再適用的測量構想應當修改或取消，同時應當重新分配相關的資源以支持其它測量構想。

到這里為止，我們的有效性測量PDCA過程已經(jīng)完成了，但是與其它管理體系相似的，有效性測量體系也需要高層管理者的大力支持和各相關方的有效反饋來確保該體系的有效運行。

5 案例分析

下面我們通過一個例子來看看A公司是如何識別ISMS有效性測量的信息需求的：

依靠從國外引進的新技術帶來的優(yōu)勢，A公司在前幾年一直發(fā)展的非常迅猛，但是這也引起了競爭對手的注意，2009年接二連三地發(fā)生了幾起技術泄密事件后，公司管理層決定要對公司的技術秘密進行更好的保護。在重新對公司進行了風險評估以后發(fā)現(xiàn)泄密的主要原因是公司網(wǎng)絡防護措施不足，被外部公司滲透并竊取了重要資料，加上參照公司的業(yè)務目標 “以領先的技術占領市場”以及安全方針 “保護公司重要技術信息”以后，需要對訪問控制和惡意攻擊防護兩方面進行測量，以找出需要改進的方面，同時確保已經(jīng)實施的控制措施的有效性。

為了對已經(jīng)建立的ISMS進行有效性測量，首先需要選擇測量對象和測量屬性。既然是要保護技術信息，防范外部攻擊，那么測量的對象就是對外部攻擊進行防范的措施，也就是惡意攻擊防護措施。體現(xiàn)該措施有效性最合適的屬性就是對惡意攻擊是否都能阻止，但由于這個屬性很難測量，我們可以用惡意攻擊導致的安全事件和被阻截的惡意攻擊這兩個比較好測量并且能有實際的評價意義的指標來替代。

確定了測量對象和測量屬性，在實施測量之前還需要進行最后一步，設計測量構想，這里的構想是指將整個測量和分析體系文檔化，并在獲取實際數(shù)據(jù)之前就構思好整個測量報告的產(chǎn)生過程，而不是等到獲得數(shù)據(jù)之后再來考慮該如何使用這些數(shù)據(jù)，以防止測量數(shù)據(jù)不能使用或者不足夠的情況。

依照設計好的測量構想對挑選出的惡意攻擊導致的安全事件和被阻截的惡意攻擊這兩個屬性進行測量，我們通過記錄安全事件報告中惡意軟件導致的安全事件數(shù)量以及計算被阻隔攻擊的記錄次數(shù)來對這兩個測量屬性進行量化測量，這就是基本測量。

在基本測量的基礎上，通過公式 “惡意軟件引起的安全事件數(shù)量/檢測到以及阻止的惡意軟件攻擊數(shù)”得出衍生測量（惡意軟件防護強度）的結果；接下來結合基本測量和衍生測量的結果，并與之前幾次的測量結果進行比較，再使用分析模型描畫出某個周期內檢測到但并未阻止的攻擊數(shù)的趨勢；這個趨勢圖就是我們產(chǎn)生的指標性結果，對該曲線的分析可以得知惡意攻擊防護的情況是在惡化還是在改進中，然后依照經(jīng)驗或專家的建議，設定一個門限（決策標準），將趨勢圖中的曲線與之比較，可得知當前的控制情況是否滿足要求；這些分析會被形成一份報告，這份報告告訴了我們是否需要對現(xiàn)行的ISMS采取措施以及對應哪方面的問題來進行。具體如何處理就要看管理層的決定了，也就是在管理評審中參考這份報告中的建議。

6 結束語

為了很好地管理和改進ISMS，我們需要對其進行測量，測量的內容應當有意義，如果測量的結果對改進ISMS沒有任何幫助或者難以理解，那么這個測量就是不成功的，也就沒有必要進行這個測量。ISO/IEC 27004：2009標準給我們提供了一個很好的參考模型，去建立一套完整的測量體系，確保ISMS的有效運行及適當改進。

[1]ISO/IEC27001： 2005，Informationtechnology-security techniques-information security management systems[S].

[2]ISO/IEC27004： 2009，Informationtechnology-security techniques-information security managementmeasurements[S].