|
|
|
|
|
|
1. 信息安全度量的定義 1.1什么是度量在物理和數學領域,度量的定義為“用拓撲空間的二值函數,給出空間中任意兩點之間距離的值,或者是用于分析的距離的近似值。”我們可以認為,“幾乎任何量化問題空間并得出值的情況,都可能看作是度量”。傳統的企業管理領域有一條準則——不能測量的東西就不能管理;這條準則也同樣適用于信息安全管理領域。 1.2什么是信息安全度量 行業的實踐經驗表明,企業在完成了網絡安全架構和安全管理建設的基礎建設之后,常常會遇上安全管理落地難、檢查難的問題。安全內控度量則是針對此問題的解決方案。信息安全內控度量可以理解為在企業內部信息安全管理中通過采用系統的、量化的、有效的手段對信息安全管理的現狀進行測量和評價,從而發現潛在的安全控制弱點,切實推動安全管理規范的落地,持續提升組織的信息安全管理水平。 2. 信息安全度量體系建設意義 2.1 度量的優勢 以往對信息安全管理情況的評價大多采用定性評價,定性評價的優點在于能夠對無法量化的制度建設、流程控制、日常操作等方面進行一個較為客觀的評價,但定性評價的缺點也很明顯,由于無法對評價結果進行量化,只能人為的對評價結果進行大致分級,這就有可能因為評價者自身...
