李堯

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

1 引言

隨著企業(yè)對(duì)信息安全工作重視程度的日益提升，不少企業(yè)都實(shí)施了基于ISO/IEC 27001：2005的信息安全管理體系（ISMS）來(lái)保護(hù)企業(yè)的重要信息。但是體系建立起來(lái)的一段時(shí)間之后，不少管理者就會(huì)有這樣的疑問： “這些控制措施是否依然有效？怎么去證明它們的效果？”這就引出了我們的問題：如何對(duì)ISMS的有效性進(jìn)行測(cè)量？

在ISO/IEC 27001:2005的4.2.2中要求，在實(shí)施和運(yùn)行ISMS的過程中要定義有效性測(cè)量方案及結(jié)果是如何使用的；4.2.3中又要求定期對(duì)ISMS的有效性進(jìn)行評(píng)審以及通過對(duì)控制措施的有效性測(cè)量來(lái)檢驗(yàn)安全需求是否被滿足；最后在7.2中將有效性測(cè)量的結(jié)果作為ISMS管理評(píng)審的一個(gè)輸入內(nèi)容單獨(dú)列成了一項(xiàng)。上述內(nèi)容在ISO/IEC 27001：2005中都是正文部分的要求，也就是不可刪減的內(nèi)容，這些足以說明有效性測(cè)量對(duì)ISMS體系的重要程度。

針對(duì)這種情況，國(guó)際標(biāo)準(zhǔn)化組織（ISO）在2009年發(fā)布了ISO/IEC 27004：2009（信息技術(shù)-安全技術(shù)–信息安全管理測(cè)量）標(biāo)準(zhǔn)，為如何建立及測(cè)量ISMS及其控制措施提供了指導(dǎo)性建議。下面我們依照ISO/IEC 27004：2009的指導(dǎo)來(lái)分析一下如何對(duì)ISMS的有效性進(jìn)行測(cè)量。

2 為什么要對(duì)ISMS的有效性進(jìn)行測(cè)量

在建立了ISMS體系之后，很多人都以為這樣就萬(wàn)事大吉了，可以高枕無(wú)憂地待在安全的ISMS中了，但是殊不知這種想法正是最大的隱患。試想想PDCA中建立ISMS體系的過程占了整個(gè)PDCA的多大比重？P、D才50%，另外的50%呢？當(dāng)然是對(duì)體系進(jìn)行不斷的改善和提高，信息安全沒有100%的安全，技術(shù)在不斷地進(jìn)步，我們的ISMS也需要不斷地調(diào)整來(lái)適應(yīng)新的技術(shù)和新的環(huán)境。

這么多的控制措施，要是每次調(diào)整都對(duì)整個(gè)體系的每項(xiàng)控制措施進(jìn)行改善工作，那么工作量就太大了，其中不少的內(nèi)容其實(shí)是沒有必要經(jīng)常改進(jìn)的，例如：對(duì)于使用哪款防火墻或殺毒軟件大可不必進(jìn)行頻繁的評(píng)估，每個(gè)月都想著是不是要換軟件是沒有必要的；此外，在控制措施的變更過程中也存在一定的風(fēng)險(xiǎn)，可能會(huì)由于微小的調(diào)整帶來(lái)更大的風(fēng)險(xiǎn)，這樣就得不償失了，還是上面的例子：一有新的殺毒軟件面世就要更換的話，工作量先不說，新軟件的兼容性及不穩(wěn)定性帶來(lái)的危險(xiǎn)是不得不考慮的。那么到底是調(diào)整還是不調(diào)整呢？答案當(dāng)然是肯定的，但是要注意的是調(diào)整什么以及在什么時(shí)候調(diào)整。

2.1 檢驗(yàn)ISMS控制措施的效果（驗(yàn)證安全需求是否被滿足）

組織在建立ISMS的時(shí)候都會(huì)以組織業(yè)務(wù)的發(fā)展目標(biāo)和各利益相關(guān)方的安全要求作為信息安全管理體系目標(biāo)的重要參考，為了達(dá)到這些目標(biāo)，通過對(duì)ISO/IEC 27001：2005附錄A中的11個(gè)控制項(xiàng)、39個(gè)控制目標(biāo)和133個(gè)控制措施的執(zhí)行，盡量降低組織所面臨的各種信息安全風(fēng)險(xiǎn)。在實(shí)施和運(yùn)行這些控制措施的過程中，難免會(huì)出現(xiàn)各種各樣的變化，包括由于組織業(yè)務(wù)的增長(zhǎng)帶來(lái)的新的安全隱患；由于組織架構(gòu)的調(diào)整引起的風(fēng)險(xiǎn)的轉(zhuǎn)移；由于法律法規(guī)的重大變更導(dǎo)致的信息安全管理體系的不符合性等問題。在實(shí)際的體系運(yùn)行過程中，對(duì)這些問題的意識(shí)和發(fā)現(xiàn)過程可能并不如想象中的簡(jiǎn)單和直接，不少變化可能在問題出現(xiàn)之后才被發(fā)現(xiàn)，就像對(duì)待疾病一樣，預(yù)防永遠(yuǎn)勝過治療，我們也需要及時(shí)地發(fā)現(xiàn)這些變化帶來(lái)的潛在問題，同時(shí)爭(zhēng)取做到提前預(yù)防從而將風(fēng)險(xiǎn)帶來(lái)的影響控制在可接受的范圍內(nèi)。這也就是為什么我們光裝個(gè)殺毒軟件并不解決問題，還需要定期地更新病毒庫(kù)和升級(jí)軟件版本來(lái)抵御更新的病毒技術(shù)。所以，通過對(duì)ISMS進(jìn)行定期的有效性測(cè)量來(lái)檢驗(yàn)已實(shí)施的控制措施是否都還適用和有效，也就是確認(rèn)我們的安全需求是否都有合適的措施來(lái)滿足。

2.2 信息安全管理工作的績(jī)效考核

第二個(gè)方面需要通過有效性測(cè)量來(lái)達(dá)到目的的是信息安全管理工作的績(jī)效考核。投入自然希望看到產(chǎn)出，傳統(tǒng)的信息安全管理方式只有投入，對(duì)于產(chǎn)出，大多數(shù)技術(shù)人員的回答就是 “沒有安全事故就是最好的效果”，但是，殊不知領(lǐng)導(dǎo)們希望看到的是發(fā)生了什么，而不是什么都沒發(fā)生。通過ISMS的有效性測(cè)量可以給管理者數(shù)據(jù)方面的支持，讓其能直觀地理解ISMS體系的實(shí)際效果，同時(shí)也可以通過對(duì)相關(guān)指標(biāo)的對(duì)比和檢查來(lái)展示ISMS管理工作人員的工作績(jī)效。例如：不少管理者都對(duì)防火墻這個(gè)東西不太相信，總覺得有殺毒軟件就行了，有問題都是殺毒軟件先跳出來(lái)，但是他們不知道的是每天防火墻抵御了幾百上千次的網(wǎng)絡(luò)攻擊和惡意掃描，這個(gè)時(shí)候就需要通過一系列的數(shù)字來(lái)體現(xiàn)防火墻的功效了。

以上這個(gè)道理同樣適用于我們的客戶和ISMS體系的管理工作者，他們一樣也需要某種直觀的方式來(lái)了解ISMS的工作狀況以及所帶來(lái)的效果：客戶希望看到自己的供應(yīng)商在這方面的工作卓有成效，能很好地保護(hù)他們的信息資產(chǎn)；管理工作者也期待自己的辛勤工作能有回報(bào)，體現(xiàn)出自己對(duì)組織的價(jià)值從而增強(qiáng)工作的積極性。

2.3 為ISMS改進(jìn)提供重要的依據(jù)

最后一點(diǎn)是，有效性測(cè)量的結(jié)果能給ISMS改進(jìn)提供重要的參考信息和改進(jìn)依據(jù)。對(duì)ISMS的改進(jìn)需要有目的地進(jìn)行，在133個(gè)控制措施中，需要調(diào)整和改進(jìn)的措施不在少數(shù)，但是如何確定哪些優(yōu)先級(jí)更高，當(dāng)然需要量化的指標(biāo)來(lái)排序，那么這些量化的指標(biāo)就是通過有效性測(cè)量來(lái)獲得。同時(shí)，通過這些測(cè)量的指標(biāo)還能給ISMS的改進(jìn)指出合適的時(shí)間，也就是可以對(duì)ISMS體系的運(yùn)行情況可以做出趨勢(shì)分析，以找出最佳的調(diào)整時(shí)機(jī)。

3 怎樣建立有效性測(cè)量體系

ISO/IEC 27004：2009標(biāo)準(zhǔn)的第7章介紹了建立ISMS有效性測(cè)量體系的主要流程，包括：識(shí)別信息需求、選擇測(cè)量對(duì)象和測(cè)量屬性以及形成測(cè)量構(gòu)想。圖1展示了有效性測(cè)量體系中的各個(gè)部分是如何聯(lián)系在一起的：

3.1 識(shí)別信息需求

要對(duì)ISMS的有效性進(jìn)行測(cè)量，首先我們需要參考組織的業(yè)務(wù)目標(biāo)以及當(dāng)前ISMS的運(yùn)作情況來(lái)識(shí)別出信息需求，也就是我們想知道什么信息。在確定信息需求的時(shí)候可以將相關(guān)人員的反饋及過去發(fā)生的信息安全事件考慮進(jìn)去。同時(shí)要注意信息需求的數(shù)量要控制在一定的限度內(nèi)，以控制測(cè)量需要花費(fèi)的時(shí)間以及報(bào)告中測(cè)量結(jié)果的數(shù)量，從而使管理層在參看報(bào)告并做決定的過程中不至于被太多的信息分散了應(yīng)該關(guān)注的重點(diǎn)。

對(duì)于信息需求的識(shí)別可以通過以下活動(dòng)來(lái)發(fā)現(xiàn)：

1）檢查ISMS方針和目標(biāo)、控制目標(biāo)和控制措施；

2）參照法律法規(guī)的規(guī)定和合同以及組織在信息安全方面的要求；

3）信息安全風(fēng)險(xiǎn)管理過程的輸出，例如：風(fēng)險(xiǎn)評(píng)估報(bào)告、殘余風(fēng)險(xiǎn)處理情況等。

識(shí)別出主要的信息需求之后再對(duì)其進(jìn)行優(yōu)先級(jí)排序，參考標(biāo)準(zhǔn)有以下內(nèi)容：

1）風(fēng)險(xiǎn)處置優(yōu)先級(jí)；

2）組織的能力和資源；

3）利益相關(guān)人的關(guān)注點(diǎn)；

4）信息安全策略；

5）滿足法律法規(guī)及合同要求的信息需求；

6）信息的價(jià)值與測(cè)量的成本之間的關(guān)系。

排好優(yōu)先順序之后需要從中挑選出合適的需求，并將文檔化的信息需求傳遞給相關(guān)的人員。

3.2 選擇測(cè)量對(duì)象和測(cè)量屬性

既然確定了我們需要獲取的是什么信息，接下來(lái)就應(yīng)該找出能體現(xiàn)這些信息的關(guān)鍵目標(biāo)，也就是這里說的測(cè)量對(duì)象，例如：

1）產(chǎn)品和服務(wù)；

2）流程；

3）組織資產(chǎn)（ISO 27001中識(shí)別出的資產(chǎn)）；

4）業(yè)務(wù)單元；

5）地理位置；

6）第三方服務(wù)。

要獲得測(cè)量對(duì)象的相關(guān)狀態(tài)就要對(duì)其某方面的屬性進(jìn)行測(cè)量。從圖1中我們可以看出一個(gè)測(cè)量對(duì)象可以有多個(gè)測(cè)量屬性，在有需要的情況下可考慮對(duì)同一測(cè)量對(duì)象的多個(gè)屬性同時(shí)測(cè)量。

對(duì)測(cè)量屬性的選擇時(shí)應(yīng)考慮以下方面：

1）相關(guān)的測(cè)量方法應(yīng)當(dāng)能被識(shí)別；

2）測(cè)試結(jié)果應(yīng)當(dāng)有意義；

3）測(cè)量數(shù)據(jù)獲得的困難程度不應(yīng)太高；

4）挑選測(cè)量屬性時(shí)不應(yīng)首先考慮測(cè)量的難易度；

5）是否有足夠的人手和資源去收集和處理數(shù)據(jù)；

圖1 信息安全測(cè)量體系模型

6）測(cè)量結(jié)果不應(yīng)太難描述；

7）測(cè)量目標(biāo)是否滿足測(cè)量目的或信息需求；

8）數(shù)據(jù)采集、管理和分析的成本。

選定的測(cè)量屬性決定了基本測(cè)量應(yīng)當(dāng)采用何種方法，同時(shí)要對(duì)測(cè)量對(duì)象、測(cè)量屬性以及選擇原理進(jìn)行文檔化，以確保未來(lái)測(cè)量的可重現(xiàn)性和可比較性。

比較常見的測(cè)量對(duì)象（以及對(duì)應(yīng)的測(cè)量屬性）有：

1）惡意軟件防護(hù)（部門計(jì)算機(jī)病毒感染次數(shù)、惡意軟件導(dǎo)致的事件）；

2）網(wǎng)絡(luò)安全管理（由于網(wǎng)絡(luò)故障導(dǎo)致的業(yè)務(wù)中斷次數(shù)）；

3）人力資源安全（保密協(xié)議簽訂率、員工參加信息安全入職培訓(xùn)百分比、員工對(duì)ISMS體系理解程度）；

4）業(yè)務(wù)連續(xù)性管理（因信息安全事件導(dǎo)致的客戶投訴次數(shù)、故障計(jì)算機(jī)及時(shí)處理率）；

5）信息和信息處理設(shè)施的完整性及可用性（重要信息備份及時(shí)率、容量不足而造成的工作延遲次數(shù)）；

6）ISMS審核流程（內(nèi)部審核不符合整改率）；

7）訪問控制（門禁系統(tǒng)日志檢查報(bào)警次數(shù)，來(lái)訪人員登記百分比）；

8）信息系統(tǒng)安全（信息處理設(shè)施維護(hù)率）；9）第三方服務(wù)管理（第三方服務(wù)次數(shù)）；10）口令策略（計(jì)算機(jī)口令強(qiáng)度符合率）。

3.3 形成測(cè)量構(gòu)想

經(jīng)過以上3個(gè)步驟之后，已經(jīng)挑選出需要實(shí)際測(cè)量的東西（也就是測(cè)量屬性），接下來(lái)需要設(shè)計(jì)的就是如何對(duì)挑選出的測(cè)量屬性進(jìn)行測(cè)量。

再來(lái)參照?qǐng)D1，首先我們需要設(shè)計(jì)一套測(cè)量方法，通過主觀或客觀的方法來(lái)對(duì)挑選出的測(cè)量屬性進(jìn)行基本測(cè)量；基本測(cè)量時(shí)需要注意的有以下內(nèi)容：

1）要有合適的標(biāo)尺，將測(cè)量的結(jié)果適當(dāng)?shù)亓炕?/p>

2）要有確認(rèn)過程，以確保測(cè)量的過程是與設(shè)計(jì)的過程保持一致；

3）應(yīng)當(dāng)考慮測(cè)量方法的精確度并記錄其誤差；

4）測(cè)量方法在一定的時(shí)間內(nèi)應(yīng)當(dāng)保持穩(wěn)定，確保測(cè)量結(jié)果的可比較性。

其次通過各種分析方法（例如：取平均值、使用權(quán)重法分析或定性分析）對(duì)基本測(cè)量的結(jié)果進(jìn)行處理，并生成衍生測(cè)量。衍生測(cè)量和基本測(cè)量的結(jié)果通過分析模型產(chǎn)生指標(biāo)性的結(jié)果，這些結(jié)果可以被當(dāng)作測(cè)量的結(jié)果來(lái)使用，也可以與決策標(biāo)準(zhǔn)對(duì)照而產(chǎn)生正式的測(cè)量報(bào)告并傳送到相關(guān)人員的手中。

一般的測(cè)量構(gòu)想中應(yīng)至少包含以下內(nèi)容：

1）測(cè)量的目的；

2）測(cè)量的控制措施、ISMS流程等目標(biāo)；

3）測(cè)量對(duì)象；

4）需要收集和被使用的數(shù)據(jù)；

5）數(shù)據(jù)收集和分析的流程；

6）測(cè)量結(jié)果的報(bào)告流程和格式；

7）相關(guān)人的角色和職責(zé)；

8）確保測(cè)量體系對(duì)相關(guān)的信息需求有效的審核循環(huán)。

到這里，PDCA的P已經(jīng)完成了，下面來(lái)看看DCA過程。

4 ISMS有效性測(cè)量體系的運(yùn)行及改進(jìn)

4.1 測(cè)量過程

依照第3節(jié)內(nèi)容建立的有效性測(cè)量體系在實(shí)際的操作過程中需要確保能夠獲得足夠準(zhǔn)確的信息來(lái)驗(yàn)證ISMS的有效性。測(cè)量的過程主要是指數(shù)據(jù)的收集、存儲(chǔ)和驗(yàn)證；收集是指定期通過設(shè)定的測(cè)量方法來(lái)收集要求的數(shù)據(jù)，存儲(chǔ)是指對(duì)包括日期、地點(diǎn)、收集人、信息所有者以及信息收集過程中發(fā)生的事件的文檔化，最后是對(duì)所收集的數(shù)據(jù)進(jìn)行驗(yàn)證和測(cè)量確認(rèn)。在測(cè)量過程中，測(cè)量數(shù)據(jù)的客觀、準(zhǔn)確應(yīng)當(dāng)被當(dāng)作重點(diǎn)內(nèi)容來(lái)對(duì)待，盡量避免操作者測(cè)量自己的工作，以確保后續(xù)流程不會(huì)受到測(cè)量的影響；在測(cè)量結(jié)果的記錄時(shí)也應(yīng)將測(cè)量過程中產(chǎn)生的誤差等因素考慮進(jìn)去。

4.2 數(shù)據(jù)分析和結(jié)果計(jì)算

接下來(lái)需要對(duì)測(cè)量的數(shù)據(jù)進(jìn)行處理，這一步驟包含2個(gè)活動(dòng)：

1）分析測(cè)量數(shù)據(jù)并產(chǎn)生結(jié)果；

2）與相關(guān)人員溝通測(cè)量結(jié)果。

在數(shù)據(jù)的分析過程中可以先對(duì)數(shù)據(jù)進(jìn)行整合、轉(zhuǎn)換等操作，之后再使用各種計(jì)算方法或工具產(chǎn)生指標(biāo)性的結(jié)果。通過指標(biāo)性的結(jié)果分析出實(shí)際測(cè)量值與期望值之間的差距，并通過該差距發(fā)現(xiàn)ISMS中需要改進(jìn)的方面（包括范圍、策略、目標(biāo)、控制措施、流程和程序等）。

ISO/IEC 27004：2009中認(rèn)為導(dǎo)致實(shí)測(cè)值和期望值之間差距的原因主要是風(fēng)險(xiǎn)評(píng)估的失敗和風(fēng)險(xiǎn)處置計(jì)劃未實(shí)施或?qū)嵤┯新┒此a(chǎn)生的，這里也印證了我們建立ISMS的主要工作就是評(píng)估風(fēng)險(xiǎn)和處置風(fēng)險(xiǎn)。

結(jié)果產(chǎn)生了，自然需要通過報(bào)告的形式提交給相關(guān)的人員使用，這里由于是對(duì)ISMS體系的驗(yàn)證，所以更多的是在組織內(nèi)部使用該結(jié)果，如果需要分發(fā)給外部使用時(shí)，應(yīng)當(dāng)先對(duì)報(bào)告中的敏感信息進(jìn)行處理，同時(shí)管理層和相關(guān)方需要審批才能提交給組織外部的相關(guān)人員。

4.3 信息安全測(cè)量程序的評(píng)估和改進(jìn)

測(cè)量的結(jié)果產(chǎn)生了，要保證測(cè)量結(jié)果的有效性和適用性，接下來(lái)需要實(shí)施評(píng)估和改進(jìn)措施對(duì)有效性測(cè)量體系本身進(jìn)行評(píng)價(jià)和調(diào)整了。評(píng)價(jià)的原則是要判斷該體系是否還有效，以及產(chǎn)生的結(jié)果是否滿足相關(guān)的信息需求。對(duì)于測(cè)量體系的評(píng)價(jià)常用的標(biāo)準(zhǔn)包括：

1）組織業(yè)務(wù)目標(biāo)的變更情況；

2）信息安全相關(guān)的法律法規(guī)和合同要求的變更情況；

3）組織的信息安全要求的變更情況；

4）組織的信息安全風(fēng)險(xiǎn)的變更情況；

5）有效或合適的測(cè)量數(shù)據(jù)及測(cè)量方法的增加；

6）測(cè)量對(duì)象和測(cè)量屬性的變化情況。對(duì)于測(cè)量結(jié)果的評(píng)價(jià)常用標(biāo)準(zhǔn)包括：

1）測(cè)量結(jié)果的易懂性，測(cè)量結(jié)果提交的及時(shí)性以及測(cè)量結(jié)果的客觀性、可比較性和可重現(xiàn)性；

2）對(duì)測(cè)量結(jié)果產(chǎn)生過程是否有完善的定義、操作的難易程度以及是否嚴(yán)格遵照定義的流程；

3）測(cè)量結(jié)果對(duì)于改進(jìn)ISMS的實(shí)用性；

4）測(cè)量結(jié)果與相應(yīng)的信息需求是否想對(duì)應(yīng)。

依照以上內(nèi)容對(duì)有效性測(cè)量體系進(jìn)行評(píng)價(jià)之后，對(duì)于不再適用的測(cè)量構(gòu)想應(yīng)當(dāng)修改或取消，同時(shí)應(yīng)當(dāng)重新分配相關(guān)的資源以支持其它測(cè)量構(gòu)想。

到這里為止，我們的有效性測(cè)量PDCA過程已經(jīng)完成了，但是與其它管理體系相似的，有效性測(cè)量體系也需要高層管理者的大力支持和各相關(guān)方的有效反饋來(lái)確保該體系的有效運(yùn)行。

5 案例分析

下面我們通過一個(gè)例子來(lái)看看A公司是如何識(shí)別ISMS有效性測(cè)量的信息需求的：

依靠從國(guó)外引進(jìn)的新技術(shù)帶來(lái)的優(yōu)勢(shì)，A公司在前幾年一直發(fā)展的非常迅猛，但是這也引起了競(jìng)爭(zhēng)對(duì)手的注意，2009年接二連三地發(fā)生了幾起技術(shù)泄密事件后，公司管理層決定要對(duì)公司的技術(shù)秘密進(jìn)行更好的保護(hù)。在重新對(duì)公司進(jìn)行了風(fēng)險(xiǎn)評(píng)估以后發(fā)現(xiàn)泄密的主要原因是公司網(wǎng)絡(luò)防護(hù)措施不足，被外部公司滲透并竊取了重要資料，加上參照公司的業(yè)務(wù)目標(biāo) “以領(lǐng)先的技術(shù)占領(lǐng)市場(chǎng)”以及安全方針 “保護(hù)公司重要技術(shù)信息”以后，需要對(duì)訪問控制和惡意攻擊防護(hù)兩方面進(jìn)行測(cè)量，以找出需要改進(jìn)的方面，同時(shí)確保已經(jīng)實(shí)施的控制措施的有效性。

為了對(duì)已經(jīng)建立的ISMS進(jìn)行有效性測(cè)量，首先需要選擇測(cè)量對(duì)象和測(cè)量屬性。既然是要保護(hù)技術(shù)信息，防范外部攻擊，那么測(cè)量的對(duì)象就是對(duì)外部攻擊進(jìn)行防范的措施，也就是惡意攻擊防護(hù)措施。體現(xiàn)該措施有效性最合適的屬性就是對(duì)惡意攻擊是否都能阻止，但由于這個(gè)屬性很難測(cè)量，我們可以用惡意攻擊導(dǎo)致的安全事件和被阻截的惡意攻擊這兩個(gè)比較好測(cè)量并且能有實(shí)際的評(píng)價(jià)意義的指標(biāo)來(lái)替代。

確定了測(cè)量對(duì)象和測(cè)量屬性，在實(shí)施測(cè)量之前還需要進(jìn)行最后一步，設(shè)計(jì)測(cè)量構(gòu)想，這里的構(gòu)想是指將整個(gè)測(cè)量和分析體系文檔化，并在獲取實(shí)際數(shù)據(jù)之前就構(gòu)思好整個(gè)測(cè)量報(bào)告的產(chǎn)生過程，而不是等到獲得數(shù)據(jù)之后再來(lái)考慮該如何使用這些數(shù)據(jù)，以防止測(cè)量數(shù)據(jù)不能使用或者不足夠的情況。

依照設(shè)計(jì)好的測(cè)量構(gòu)想對(duì)挑選出的惡意攻擊導(dǎo)致的安全事件和被阻截的惡意攻擊這兩個(gè)屬性進(jìn)行測(cè)量，我們通過記錄安全事件報(bào)告中惡意軟件導(dǎo)致的安全事件數(shù)量以及計(jì)算被阻隔攻擊的記錄次數(shù)來(lái)對(duì)這兩個(gè)測(cè)量屬性進(jìn)行量化測(cè)量，這就是基本測(cè)量。

在基本測(cè)量的基礎(chǔ)上，通過公式 “惡意軟件引起的安全事件數(shù)量/檢測(cè)到以及阻止的惡意軟件攻擊數(shù)”得出衍生測(cè)量（惡意軟件防護(hù)強(qiáng)度）的結(jié)果；接下來(lái)結(jié)合基本測(cè)量和衍生測(cè)量的結(jié)果，并與之前幾次的測(cè)量結(jié)果進(jìn)行比較，再使用分析模型描畫出某個(gè)周期內(nèi)檢測(cè)到但并未阻止的攻擊數(shù)的趨勢(shì)；這個(gè)趨勢(shì)圖就是我們產(chǎn)生的指標(biāo)性結(jié)果，對(duì)該曲線的分析可以得知惡意攻擊防護(hù)的情況是在惡化還是在改進(jìn)中，然后依照經(jīng)驗(yàn)或?qū)＜业慕ㄗh，設(shè)定一個(gè)門限（決策標(biāo)準(zhǔn)），將趨勢(shì)圖中的曲線與之比較，可得知當(dāng)前的控制情況是否滿足要求；這些分析會(huì)被形成一份報(bào)告，這份報(bào)告告訴了我們是否需要對(duì)現(xiàn)行的ISMS采取措施以及對(duì)應(yīng)哪方面的問題來(lái)進(jìn)行。具體如何處理就要看管理層的決定了，也就是在管理評(píng)審中參考這份報(bào)告中的建議。

6 結(jié)束語(yǔ)

為了很好地管理和改進(jìn)ISMS，我們需要對(duì)其進(jìn)行測(cè)量，測(cè)量的內(nèi)容應(yīng)當(dāng)有意義，如果測(cè)量的結(jié)果對(duì)改進(jìn)ISMS沒有任何幫助或者難以理解，那么這個(gè)測(cè)量就是不成功的，也就沒有必要進(jìn)行這個(gè)測(cè)量。ISO/IEC 27004：2009標(biāo)準(zhǔn)給我們提供了一個(gè)很好的參考模型，去建立一套完整的測(cè)量體系，確保ISMS的有效運(yùn)行及適當(dāng)改進(jìn)。

[1]ISO/IEC27001： 2005，Informationtechnology-security techniques-information security management systems[S].

[2]ISO/IEC27004： 2009，Informationtechnology-security techniques-information security managementmeasurements[S].