|
|
|
|
|
|
來源: 發(fā)布日期:2015.02.09 點(diǎn)擊量:
1. 信息安全度量的定義
在物理和數(shù)學(xué)領(lǐng)域,度量的定義為“用拓?fù)淇臻g的二值函數(shù),給出空間中任意兩點(diǎn)之間距離的值,或者是用于分析的距離的近似值。”我們可以認(rèn)為,“幾乎任何量化問題空間并得出值的情況,都可能看作是度量”。傳統(tǒng)的企業(yè)管理領(lǐng)域有一條準(zhǔn)則——不能測量的東西就不能管理;這條準(zhǔn)則也同樣適用于信息安全管理領(lǐng)域。
信息安全內(nèi)控度量可以理解為在企業(yè)內(nèi)部信息安全管理中通過采用系統(tǒng)的、量化的、有效的手段對信息安全管理的現(xiàn)狀進(jìn)行測量和評價,從而發(fā)現(xiàn)潛在的安全控制弱點(diǎn),切實(shí)推動安全管理規(guī)范的落地,持續(xù)提升組織的信息安全管理水平。
2. 信息安全度量體系建設(shè)意義
2.1 度量的優(yōu)勢
3. 實(shí)施方法論和依據(jù)
3.1 信息安全內(nèi)控度量體系理論支持
3.2 內(nèi)控度量的PDCA
3.3 安言的PROC方法論
作為信息安全咨詢提供者,安言咨詢在以ISO27001認(rèn)證為代表的信息安全管理體系建設(shè)方面經(jīng)歷了長期的實(shí)踐,積累了豐富的經(jīng)驗(yàn)。在幫助企業(yè)建立符合自身需求的信息安全內(nèi)控度量體系上,安言咨詢的方法論體現(xiàn)為PROC過程模型,這個過程模型是對經(jīng)典的PDCA管理模式的具體實(shí)現(xiàn),更具有針對性和可實(shí)施性。
PROC模式將整個信息安全內(nèi)控度量體系建設(shè)項(xiàng)目劃分成四個大的階段,每個階段又包含相應(yīng)的工作子項(xiàng),每項(xiàng)工作均具有前后關(guān)聯(lián),只要能夠按照規(guī)劃順利開展各階段工作,最終就能建立起有效的信息安全內(nèi)控度量體系,實(shí)現(xiàn)信息安全管理工作的客觀、量化、有效評價。各階段具體工作如下:
準(zhǔn)備階段(Preparation):在準(zhǔn)備階段,項(xiàng)目小組要對信息安全內(nèi)控度量體系的實(shí)施做好預(yù)備工作,明確度量體系實(shí)施范圍,提供相關(guān)資源,建立總體的安全管理方針,進(jìn)行現(xiàn)狀調(diào)研,了解并分析信息安全現(xiàn)狀,明確風(fēng)險問題和由此帶來的具體需求。
實(shí)現(xiàn)階段(Realization):在實(shí)現(xiàn)階段,項(xiàng)目小組要組織相關(guān)資源,依據(jù)前期現(xiàn)狀調(diào)研和現(xiàn)狀分析結(jié)果開展度量體系設(shè)計(jì)和實(shí)現(xiàn)工作,為好計(jì)劃,同時編寫、測試、修訂并完善內(nèi)控度量體系運(yùn)行所需各類文件。
運(yùn)行階段(Operation):信息安全內(nèi)控度量體系建立起來之后,要通過一定時間的試運(yùn)行來檢驗(yàn)其有效性和可操作性性。在此階段,應(yīng)該培訓(xùn)專門人員,建立起內(nèi)部度量機(jī)制,通過例行檢查、專項(xiàng)檢查等各類檢查活動,來檢查已建立的度量體系是否符合企業(yè)評估自身安全管理的要求。
驗(yàn)證階段(Certification):經(jīng)過一定時間運(yùn)行,內(nèi)控度量體系達(dá)到一個穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時,可以提請進(jìn)行項(xiàng)目驗(yàn)收。
3.4 信息安全內(nèi)控度量體系設(shè)計(jì)依據(jù)
度量體系的設(shè)計(jì)需要參考企業(yè)內(nèi)部和外部管理要求,行業(yè)標(biāo)準(zhǔn)、法律法規(guī)、監(jiān)管機(jī)構(gòu)發(fā)文等都可以作為參考,一般包含以下三類文件:
內(nèi)部安全制度:企業(yè)內(nèi)部發(fā)布的各類安全管理制度
國內(nèi)法律法規(guī)及監(jiān)管機(jī)構(gòu)要求:各類國家標(biāo)準(zhǔn)(GB50174-2000、等級保護(hù)等)、《銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險管理指引》等
相關(guān)客戶案例: