譯 / 商嫣然

如何衡量信息安全的有效性

譯 / 商嫣然

在信息安全方面，我們要盡可能做到十分的小心。保護個人信息記錄和商業(yè)敏感信息至關(guān)重要。但是為什么說ISO/IEC 27001信息安全管理體系（ISMS）正在讓這一問題發(fā)生重大改變呢？一項新的ISO/IEC國際標準可以幫您解答。

最近更新的ISO / IEC 27004：2016《信息技術(shù)安全技術(shù) 信息安全管理 監(jiān)視﹑測量﹑分析和評估》，為如何評估ISO / IEC 27001的性能提供了指導。該標準解釋了如何開發(fā)和操作測量過程，以及如何評估和報告一組信息安全度量的結(jié)果。

開發(fā)標準工作組（ISO/IEC JTC 1 / SC 27）召集人Edward Humphreys教授說：“網(wǎng)絡(luò)攻擊是一個組織可能面臨的最大風險之一。這就是為什么改版后的ISO/IEC 27004為許多正在實施ISO / IEC 27001保護自己免受日益多樣化的安全攻擊的組織提供了必要和實際的支持?！?/p>

安全指標可以提供關(guān)于信息安全管理體系的有效性的見解，并因此占據(jù)至關(guān)重要的位置。無論你是一名工程師還是負責安全且為管理人員或行政人員提供更多有效信息的顧問，安全指標已成為溝通組織機構(gòu)網(wǎng)絡(luò)風險態(tài)勢的重要工具。

用Humphreys教授的話來說：“組織需要得到幫助，來解決其在信息安全管理方面的投資是否有效的問題，以便作出適當?shù)姆磻?yīng)，捍衛(wèi)和應(yīng)對不斷變化的網(wǎng)絡(luò)風險環(huán)境。這就是ISO/IEC 27004能為我們提供的眾多優(yōu)勢?！?/p>

ISO/IEC 27004：2016展示了如何構(gòu)建測量信息安全的方案，如何選擇測量對象，以及如何操作必要的測量過程。包括大量不同類型措施的例子，以及對這些措施的有效性的評估。

總的來說，ISO/IEC 27004對組織的益處體現(xiàn)為：

＊ 增加問責制；

＊ 改進信息安全性能和信息安全管理過程；

＊ 符合ISO/IEC 27001要求，可以作為適用相關(guān)法律﹑法規(guī)的證據(jù)。

ISO/IEC 27004：2016代替2009版；標準被更新和擴展，是為了與修訂后的ISO/IEC 27001一道為企業(yè)提供更大的附加值和信心。

ISO/IEC 27004：2016由ISO/IEC JTC 1（信息技術(shù)委員會）中的SC 27（信息安全技術(shù)小組委員會）開發(fā)，其秘書處設(shè)在DIN。

（原文標題：How to measure the effectiveness of information security，作者： Elizabeth Gasiorowski-Denis，譯自ISO官網(wǎng)）