董亦兵

一、ISO/IEC 27004：2016介紹

ISO/IEC 27004：2016由ISO/IEC于2016年12月15日發(fā)布了第二版，標(biāo)準(zhǔn)中文名稱(chēng)為“信息技術(shù)-安全技術(shù)-信息安全管理-監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)”，旨在協(xié)助組織評(píng)估ISMS的有效性，以滿(mǎn)足ISO/IEC：2013，9.1：監(jiān)視、測(cè)量、分析和評(píng)估要求。ISO/IEC 27004：2016通過(guò)一系列的指標(biāo)用來(lái)評(píng)價(jià)組織ISMS的有效性，并通過(guò)系統(tǒng)性的測(cè)量方法支撐評(píng)估過(guò)程。下面簡(jiǎn)要介紹測(cè)量要素間的關(guān)系和ISO/IEC 27004：2016的測(cè)量指標(biāo)體系。

（一） 測(cè)量要素間的關(guān)系

根據(jù)ISO/IEC 27004：2016標(biāo)準(zhǔn)，ISMS有效性測(cè)量工作分為監(jiān)控、測(cè)量、分析和評(píng)價(jià)四個(gè)環(huán)節(jié)。測(cè)量要素間的關(guān)系如下：

第一，應(yīng)明確測(cè)量需求。測(cè)量需求應(yīng)反映信息安全管理關(guān)鍵流程、關(guān)鍵活動(dòng)、關(guān)鍵控制的有效性，能折射管理成熟度。第二，在明確測(cè)量需求基礎(chǔ)上，確定測(cè)量對(duì)象（實(shí)體），并選取測(cè)量對(duì)象適當(dāng)?shù)膶傩赃M(jìn)行監(jiān)控。測(cè)量對(duì)象屬性應(yīng)與測(cè)量目的保持一致，以滿(mǎn)足測(cè)量需求。第三，采取適當(dāng)?shù)臏y(cè)量方法實(shí)施測(cè)量，包括基礎(chǔ)測(cè)量和派生測(cè)量。定義適當(dāng)?shù)臏y(cè)度，通過(guò)對(duì)屬性的度量，形成基礎(chǔ)測(cè)量結(jié)果。圍繞測(cè)量目的和測(cè)量需求，設(shè)計(jì)恰當(dāng)?shù)臏y(cè)量函數(shù)，將多個(gè)基礎(chǔ)測(cè)量結(jié)果進(jìn)行結(jié)合，形成派生測(cè)量結(jié)果。第四，設(shè)計(jì)測(cè)量指標(biāo)。測(cè)量指標(biāo)能直觀反映測(cè)量需求，通常通過(guò)建立分析模型，將測(cè)量指標(biāo)劃分為若干區(qū)間，不同區(qū)間能反映測(cè)量對(duì)象在控制有效性方面的強(qiáng)弱。第五，對(duì)測(cè)量對(duì)象進(jìn)行評(píng)價(jià)。對(duì)測(cè)量指標(biāo)進(jìn)行解釋?zhuān)沟脺y(cè)量結(jié)果能夠恰當(dāng)反饋測(cè)量需求。

（二） ISO/IEC 27004：2016測(cè)量指標(biāo)體系

ISO/IEC 27004：2016附錄B提供了一個(gè)標(biāo)準(zhǔn)的指標(biāo)體系實(shí)例，用于測(cè)量組織ISMS是否符合ISO/IEC 27001：2013。ISO/IEC 27004：2016共包含35個(gè)指標(biāo)（從B.2到B.36），每個(gè)指標(biāo)與ISO/IEC 27001：2013的控制要求進(jìn)行了映射，如下表所示：

然而ISO/IEC 27004：2016的測(cè)量指標(biāo)主要以ISO/ IEC 27001：2013為基礎(chǔ)，組織在建設(shè)ISMS過(guò)程中，在參考ISO/IEC 27001：2013的同時(shí)，需要考慮國(guó)內(nèi)相關(guān)法律法規(guī)、監(jiān)管要求等因素，同時(shí)考慮多體系融合，ISMS比起單一ISO/IEC27001：2013更為復(fù)雜，測(cè)量指標(biāo)設(shè)計(jì)也應(yīng)充分考慮對(duì)組織的適用性。

二、ISMS有效性測(cè)量設(shè)計(jì)

（一） 有效性測(cè)量的前提

建立完善的ISMS是信息安全管理體系測(cè)量的首要條件之一。ISMS不僅為信息安全管理工作提供制度依據(jù)，也同時(shí)為ISMS有效性測(cè)量框架設(shè)計(jì)的基礎(chǔ)。

從有效性測(cè)量的角度出發(fā)，完善的信息安全管理體系應(yīng)包括以下特征：

合規(guī)性：信息安全管理體系應(yīng)滿(mǎn)足外部法律法規(guī)、監(jiān)管要求、合同協(xié)議要求及主管部門(mén)或投資方、內(nèi)部控制等方面的要求。

適度安全：應(yīng)建立統(tǒng)一的信息安全策略，確立信息安全頂層方針、策略和控制目標(biāo)，在確?？腕w安全可控基礎(chǔ)上，平衡安全與效率的矛盾。

明確客體控制要求：識(shí)別重要客體，如數(shù)據(jù)中心、重要信息、軟硬件等，對(duì)客體進(jìn)行分級(jí)分類(lèi)，明確不同類(lèi)別、不同級(jí)別客體的控制要求。

明確主體責(zé)任：在梳理IT資產(chǎn)的基礎(chǔ)上，明確不同IT資產(chǎn)的信息安全控制責(zé)任，同時(shí)應(yīng)明確高級(jí)管理層、各部門(mén)、重要崗位的信息安全責(zé)任，授權(quán)合理、責(zé)任明確。

采用技術(shù)控制手段，提高信息安全控制效率和效果。

明確重要活動(dòng)流程：如信息安全事件處理流程、信息安全資產(chǎn)管理流程等。

建立完善的應(yīng)急預(yù)案，定期開(kāi)展演練。

建立評(píng)估與評(píng)價(jià)體系，確保信息安全體系持續(xù)改進(jìn)。

（二） 有效性測(cè)量的目的和意義

明確測(cè)量的目的和意義是設(shè)計(jì)測(cè)量模型的前提條件之一，測(cè)量的指標(biāo)應(yīng)圍繞測(cè)量目的開(kāi)展。信息安全有效性測(cè)量應(yīng)與信息安全檢查、信息安全績(jī)效評(píng)價(jià)目的不同，雖然三者有一定聯(lián)系，甚至互為輸入，但測(cè)量模型應(yīng)反映測(cè)量的目的。

信息安全檢查的目的：主要利用科學(xué)的抽樣、檢查、技術(shù)檢測(cè)等技術(shù)，評(píng)估信息安全控制措施的有效性。檢查的輸入項(xiàng)通常是信息安全管理體系要求，檢查對(duì)象為主體的履職情況、客體的控制效果，識(shí)別控制缺陷和薄弱環(huán)節(jié)。

信息安全管理體系有效性測(cè)量的目的：測(cè)量的客體為信息安全管理體系，主要通過(guò)對(duì)一系列的指標(biāo)和模型的測(cè)量，檢驗(yàn)信息安全管理體系是否有效，通常包括本文前面所描述的合規(guī)性、適度安全等要素，信息安全有效性測(cè)量是信息安全管理體系完善的主要依據(jù)之一。

信息安全績(jī)效評(píng)價(jià)的目的：主要評(píng)價(jià)管理主體的履職績(jī)效，評(píng)價(jià)對(duì)象為信息安全管理主體履行信息安全管理活動(dòng)的態(tài)度、履職情況、履職效果、目標(biāo)（KRI，即關(guān)鍵風(fēng)險(xiǎn)指標(biāo)）完成情況。

（三） 有效性測(cè)量的需求

信息安全管理有效性測(cè)量，通常包含過(guò)程指標(biāo)和結(jié)果指標(biāo)兩類(lèi)。過(guò)程指標(biāo)反映信息安全管理過(guò)程、管理環(huán)節(jié)、管理活動(dòng)的有效性指標(biāo)，包括過(guò)程的效率效果性、經(jīng)濟(jì)性、合理性、合規(guī)性等。結(jié)果指標(biāo)反映信息安全管理結(jié)果的有效性指標(biāo)，包括安全事件發(fā)生是否超過(guò)了容忍限度、核心系統(tǒng)可用性指標(biāo)、人員傷亡指標(biāo)、數(shù)據(jù)泄密指標(biāo)等。

（四） 有效性測(cè)量模型的設(shè)計(jì)

1、 測(cè)量需求

首先應(yīng)明確測(cè)量需求，包括確定ISMS控制目標(biāo)，并基于控制目標(biāo)設(shè)計(jì)測(cè)量指標(biāo)和確定測(cè)量對(duì)象。測(cè)量指標(biāo)應(yīng)能反映控制目標(biāo)，選取關(guān)鍵控制活動(dòng)和控制環(huán)節(jié)。

2、 測(cè)量方法

其次應(yīng)確定測(cè)量方法，包括選取測(cè)量對(duì)象的屬性和測(cè)度，確定測(cè)量方法（含基礎(chǔ)測(cè)量和派生測(cè)量），結(jié)合工作實(shí)際，確定測(cè)量頻度。

3、 測(cè)量基準(zhǔn)

第三，確定測(cè)量基準(zhǔn)，可以劃分為可以接受區(qū)域、預(yù)警區(qū)域和不可接受區(qū)域，用于對(duì)實(shí)際測(cè)量結(jié)果的參考。

4、 測(cè)量結(jié)果

最后，形成測(cè)量結(jié)果后，與測(cè)量基準(zhǔn)進(jìn)行比較，形成初步測(cè)量結(jié)果。對(duì)測(cè)量結(jié)果進(jìn)行復(fù)核和與責(zé)任方進(jìn)行溝通，確定最終的測(cè)量結(jié)果。

三、有效性測(cè)量案例分析

筆者結(jié)合組織信息安全控制目標(biāo)，設(shè)計(jì)了一套基于控制目標(biāo)的信息安全控制目標(biāo)有效性測(cè)量指標(biāo)體系。如下表所示：

（二） 指標(biāo)分析與評(píng)價(jià)

完成上表測(cè)量工作后，ISMS的有效性測(cè)量工作就完成了絕大部分工作，只剩下最后一項(xiàng)活動(dòng)，即指標(biāo)分析和評(píng)價(jià)活動(dòng)。指標(biāo)分析和評(píng)價(jià)活動(dòng)需要從風(fēng)險(xiǎn)視角分析一個(gè)指標(biāo)存在多個(gè)屬性時(shí)，怎樣判斷指標(biāo)的有效性。以上表中“信息安全方針的評(píng)審”指標(biāo)為例，該指標(biāo)包含了“定期開(kāi)展方針評(píng)審活動(dòng)”和“不符合項(xiàng)整改率”兩個(gè)屬性的測(cè)量結(jié)果，符合怎樣的情形時(shí)該項(xiàng)指標(biāo)才能判斷為“控制有效”。從理論上測(cè)量結(jié)果包括九種可能性，如下圖所示：

如果某個(gè)指標(biāo)包含的屬性更多時(shí)，指標(biāo)分析和評(píng)價(jià)過(guò)程會(huì)變得非常復(fù)雜。為了簡(jiǎn)化分析和評(píng)價(jià)過(guò)程，通常可以約定同一測(cè)量指標(biāo)中多個(gè)屬性的測(cè)量結(jié)果同時(shí)為“可接受區(qū)域”時(shí)，該指標(biāo)才可判定為“控制有效”，其他情形均判定為“控制無(wú)效”。實(shí)際在指標(biāo)分析和評(píng)價(jià)過(guò)程中，可以根據(jù)每個(gè)屬性指標(biāo)的權(quán)重和風(fēng)險(xiǎn)暴露程度實(shí)施分析與評(píng)價(jià)。

四、結(jié)束語(yǔ)

作為國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001：2013，提供了一個(gè)ISMS框架，為組織建設(shè)ISMS提供了參考，ISO/IEC 27004：2016為滿(mǎn)足ISO/IEC 2700：2013 “9.1：監(jiān)視、測(cè)量、分析和評(píng)價(jià)要求”條款提供了一個(gè)ISMS有效性測(cè)量框架。然而組織在貫標(biāo)ISO/IEC 27001：2013的過(guò)程中并不會(huì)完全遵照標(biāo)準(zhǔn)要求建立ISMS，因國(guó)家法律法規(guī)、行業(yè)監(jiān)管要求、企業(yè)自身組織治理等因素不同，組織建設(shè)的ISMS也不近相同，所以ISMS有效性測(cè)量方法也不能完全照搬ISO/IEC 27004：2016進(jìn)行實(shí)施。本文作者全面剖析了ISMS有效性測(cè)量設(shè)計(jì)方法，并分享了設(shè)計(jì)案例，為讀者朋友提供學(xué)習(xí)和參考。編寫(xiě)過(guò)程中難免有不足之處，歡迎讀者朋友多提寶貴意見(jiàn)。