淺談信息安全管理的有效性測量方法

薛擁華 鄧沖 陳宇 劉板浩 黃剛

【摘要】 隨著信息系統(tǒng)在企業(yè)中的廣泛應(yīng)用，信息安全的問題逐漸突出和嚴(yán)峻，這就體現(xiàn)了進(jìn)行現(xiàn)安全有效性管理的重要性。實(shí)現(xiàn)信息安全管理的有效性測量是對企業(yè)進(jìn)行信息安全運(yùn)行的風(fēng)險問題進(jìn)行評估，進(jìn)而得出企業(yè)的信息安全系統(tǒng)能否同企業(yè)信息安全的控制水平相一致，體現(xiàn)了對于整體性提高企業(yè)信息安全管理水平的重要性。

【關(guān)鍵詞】 信息安全管理 有效性測量 方法

在21世紀(jì)的社會發(fā)展新時代，網(wǎng)絡(luò)、計算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營管理之中，在基本運(yùn)行中會涉及到企業(yè)眾多的機(jī)密文件和信息，直接關(guān)系的企業(yè)的發(fā)展運(yùn)行，所以，一旦出現(xiàn)安全問題就會對企業(yè)產(chǎn)生重要的影響。

所以，在不斷深化的應(yīng)用中，企業(yè)開始注重對信息安全的管理，并通過多樣化的技術(shù)手段和方式來進(jìn)行強(qiáng)化，但是這樣的方式?jīng)Q定了對安全管理的有效性不能進(jìn)行合理的把握和控制，并且對整體的安全水準(zhǔn)也沒有實(shí)現(xiàn)準(zhǔn)確的衡量。所以，如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè)，而并沒有開展有效的安全管理評估工作，就會使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞，所以，進(jìn)行信息安全管理的有效性測量是極為重要的。

企業(yè)也逐漸認(rèn)識到其重要性，使得近年來，我國企業(yè)對于信息安全有效性的測量需求不斷增多，但是，在這方面我國起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉硖嵘郎y量的整體有效性。

一、信息安全管理有效性測量的目的

通過實(shí)現(xiàn)有效性的測量，能夠真實(shí)評估和反映企業(yè)信息安全管理的整體水平，以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時，往往會依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行，進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。

通過對企業(yè)的信息安全管理進(jìn)行有效性的測量，可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評估，會能實(shí)現(xiàn)對企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說明，并能對企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評測，為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。

就企業(yè)的整體發(fā)展實(shí)際來看，如果不開展信息安全管理的有效性測量，會使企業(yè)的整體管理水平只依賴于基本測評狀態(tài)下的運(yùn)行管理水平，難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離，造成企業(yè)在安全管理過程中的漏洞和誤差，使得企業(yè)在正常的運(yùn)營和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致，并且在對基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時，并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷，更遑論進(jìn)行有效合理的解決，極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。

而通過有效性的測量活動，能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位，并且還能夠有效指導(dǎo)基本的解決策略，有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

二、信息安全管理有效性的測量方法

在開展信息安全管理有效性的測量時，需要對進(jìn)行測量的指標(biāo)進(jìn)行量化的處理，并最終形成具有實(shí)際可行性的量化測量指標(biāo)。在測量中，不同的指標(biāo)則需要不同的測量方法來進(jìn)行，一般而言，具有風(fēng)險分析、問卷調(diào)查、內(nèi)部審核、滲透性測試、個人訪談、內(nèi)外對比、風(fēng)險評估、報表統(tǒng)計等不同的方法。

通過不同指標(biāo)的不同測量之后，能夠得得出各個指標(biāo)的測度結(jié)果，在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對結(jié)果進(jìn)行科學(xué)有效的取值管理，給各個指標(biāo)賦予不同的安全分險權(quán)重，然后綜合計算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測量時，在對基本技術(shù)要求進(jìn)行測量評估時，還需要對企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識、事件管理等開展管理有效性的評估，以保障最終結(jié)果的綜合有效性。

在信息安全管理有效性的測量發(fā)展中，相關(guān)專業(yè)機(jī)構(gòu)提出了同通過整體的系統(tǒng)模型來實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測量模型的建立，將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后，得出最后的測量結(jié)果，其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應(yīng)用不同的測量方法之后就能夠得到基本測度，而基本測量方法的獲取是通過多樣化的數(shù)據(jù)資源進(jìn)行測量對象的數(shù)據(jù)獲取，比如風(fēng)險評估結(jié)果、日志報表統(tǒng)計記錄、調(diào)查表、測量結(jié)果等途徑。

就我國當(dāng)前進(jìn)行信息安全管理有效性測量的方式而言，在設(shè)定環(huán)節(jié)相對復(fù)雜和冗余，但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法：

2.1審計監(jiān)控系統(tǒng)回顧

在進(jìn)行檢測時，需要盡可能的發(fā)現(xiàn)各個環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件，以實(shí)現(xiàn)有效的防治，實(shí)現(xiàn)影響的最小化[3]。

2.2糾正預(yù)防措施驗(yàn)證

對已經(jīng)納入整體有效性測量計劃的糾正預(yù)防措施，在開展檢測時進(jìn)行檢查和回顧，以保證檢驗(yàn)過程中對于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

2.3信息安全事故統(tǒng)計

主要是對已經(jīng)發(fā)生過的安全事件進(jìn)行統(tǒng)計和分析，以為檢測的有效性提供更加高效合理的方法指引，以實(shí)現(xiàn)進(jìn)行更高角度的評估以及在控制措施方面的有效性。

這樣的方式是將基本的計劃和檢測方式實(shí)現(xiàn)了有效的結(jié)合，并在各種方法的支撐下，實(shí)現(xiàn)綜合型的檢測，做到有效的預(yù)防和糾正，從不同的層面反應(yīng)了進(jìn)行信息安全檢測的有效性，并保障整體運(yùn)行體系的完整有效性，進(jìn)而形成一個有效的良性循環(huán)。

三、結(jié)束語

就我國的整體實(shí)際而言，信息安全管理有效性的測量方法，還處于基礎(chǔ)的起步階段，而且相關(guān)的各項(xiàng)理論研究和測量指標(biāo)等也均沒有達(dá)到完善的階段，這就需要進(jìn)行不斷的發(fā)展和探索，而且實(shí)踐證明，進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的，在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上，能夠使企業(yè)提升整體的競爭力和自身生存能力，并且能夠?qū)y量中發(fā)現(xiàn)的問題和相關(guān)數(shù)據(jù)進(jìn)行分析，然后具有針對性的使企業(yè)所存在的風(fēng)險得到最大化的控制，最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。

參 考 文 獻(xiàn)

[1]朱英菊，劉紅麗，陳長松.信息安全管理有效性的測量研究[J].情報雜志，2010，01：73-76+41.

[2]張立偉.信息安全管理有效性的測量研究[J].中國管理信息化，2014，10：78.

[3]閆世杰，閔樂泉，趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密，2009，05：70-74.