1.對信息安全管理目標(biāo)考核的需要

 

電力企業(yè)在建立信息安全管理體系時會依據(jù)自身業(yè)務(wù)發(fā)展、各方利益需求及自身的信息安全管理能力等級，來設(shè)置自身信息安全管理的目標(biāo)。通過有效性測量，不但可以對信息安全目標(biāo)執(zhí)行狀況進(jìn)行考核，準(zhǔn)確評估信息安全管理體系的運行效果，而且還能為管理層對信息安全管理的資源投入提供數(shù)據(jù)依據(jù)。

 

2.信息安全管理體系持續(xù)改進(jìn)的重要依據(jù)

 

通過有效性測量，能夠反映出當(dāng)前信息安全管理中所存在的問題及問題的嚴(yán)重程度，為今后的信息安全管理工作提供有力的依據(jù)。

 

3.信息安全管理工作績效考核的需要

 

有效性測量結(jié)果不僅是評價信息安全管理體系績效的重要標(biāo)準(zhǔn)，也是對信息安全管理工作績效的展示。通過有效性測量的數(shù)據(jù)，不但可以使管理者清晰地了解信息安全管理工作，還能增強(qiáng)信息安全管理工作人員的信心。4.ISO/IEC27001信息安全管理體系的有效性要求在ISO/IEC27001：2005的4.2.2中有測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性的要求。在ISO/IEC27001的4.2.3中，又要求定期對信息安全管理體系的有效性進(jìn)行評審，以及通過對控制措施的有效性測量來檢驗安全需求是否被滿足。最后在ISO/IEC27001的7.2中，將有效性測量的結(jié)果作為信息安全管理體系管理評審的一個輸入內(nèi)容，單獨列成了一項。以上這些條款都在ISO/IEC27001的正文部分，足以說明有效性測量對信息安全管理體系的重要程度。

 

二、如何進(jìn)行有效性測量

 

1.選擇、設(shè)計測量指標(biāo)

 

按照循序漸進(jìn)原則，有效性測量工作，首先將集中在對電力企業(yè)而言相對重要的信息技術(shù)服務(wù)流程和信息安全的重點管控領(lǐng)域，測量的參考依據(jù)為體系各級文件管理制度。有效性測量主要包括且不限于以下各指標(biāo)。信息技術(shù)服務(wù)管理體系運行指標(biāo)、重要流程的運行指標(biāo)、信息安全管理體系運行指標(biāo)、員工信息安全意識管理指標(biāo)、信息系統(tǒng)建設(shè)管理指標(biāo)、信息系統(tǒng)運維管理指標(biāo)和服務(wù)可用性連續(xù)性管理指標(biāo)等。例如，信息技術(shù)服務(wù)管理體系運行指標(biāo)包括且不限于以下內(nèi)容：本地網(wǎng)絡(luò)系統(tǒng)正常運行率；廣域網(wǎng)系統(tǒng)正常運行率；業(yè)務(wù)應(yīng)用平均運行率；已建立完備的運行記錄的流程占流程總數(shù)的比例；依照制度要求組織評審并及時進(jìn)行完善和修訂的流程占流程總數(shù)的比例；各流程負(fù)責(zé)人依照制度要求按時提交相關(guān)服務(wù)報告的比例。信息安全管理體系運行指標(biāo)可包括且不限于以下內(nèi)容：信息安全管理人員占全體員工的比例；信息安全風(fēng)險評估的實施頻次；信息安全全員意識培訓(xùn)開展次數(shù)；信息安全管理制度的修訂周期；信息安全相關(guān)法律法規(guī)的更新周期。員工信息安全管理指標(biāo)可包括且不限于以下內(nèi)容：接受信息安全培訓(xùn)的員工占全體員工的比例；員工內(nèi)網(wǎng)辦公電腦上桌面防護(hù)客戶端軟件的安裝比例；信息安全檢查中發(fā)現(xiàn)的員工違反信息安全制度的不符合項比例；因違反信息安全管理制度而受到懲戒的員工比例；重大信息安全事件發(fā)生的次數(shù)。信息系統(tǒng)建設(shè)管理指標(biāo)可包括且不限于以下內(nèi)容：根據(jù)相關(guān)制度要求在系統(tǒng)上線前及時移交所有文檔（包括安全評審文檔）的信息系統(tǒng)占所有新上線系統(tǒng)的比例。信息系統(tǒng)運維管理指標(biāo)可包括且不限于以下內(nèi)容：因操作不當(dāng)而引起的重大信息安全事件的次數(shù)；已經(jīng)制定了文檔化的操作程序的信息系統(tǒng)比例。

 

2.實施有效性測量

 

測量的過程主要是指數(shù)據(jù)的收集、存貯和驗證。收集是指定期通過設(shè)定的測量方法收集要求的數(shù)據(jù)，存貯是指對包括日期、地點、收集人、信息所有者、信息收集過程中發(fā)生的事件的文檔化，最后是對所收集的數(shù)據(jù)進(jìn)行驗證和測量確認(rèn)。在測量過程中，測量數(shù)據(jù)的客觀準(zhǔn)確應(yīng)當(dāng)被當(dāng)作重點內(nèi)容來對待，盡量避免操作者測量自己的工作，以確保后續(xù)流程不會受到測量的影響；在測量結(jié)果的記錄時，也應(yīng)將測量過程中產(chǎn)生的誤差等因素考慮進(jìn)去。每年組織召開一次管理評審會議。在管理評審會議之前，體系推進(jìn)工作組應(yīng)依據(jù)本規(guī)定，組織各部門開展企業(yè)范圍內(nèi)的信息技術(shù)服務(wù)和信息安全管理體系有效性測量活動。企業(yè)信息技術(shù)服務(wù)和信息安全管理體系有效性測量活動的完成時間也可安排在信息技術(shù)服務(wù)和信息安全管理體系內(nèi)審活動開始之前，以保證通過內(nèi)審活動能有效地檢驗測量指標(biāo)的正確性。

 

3.有效性測量的持續(xù)改進(jìn)

 

根據(jù)“循序漸進(jìn)、持續(xù)改進(jìn)”的原則，信息安全管理小組應(yīng)負(fù)責(zé)對信息安全測量體系不斷完善。電力企業(yè)內(nèi)各部門應(yīng)該對信息安全測量指標(biāo)的建設(shè)和運行目標(biāo)定期地組織評估，結(jié)合實際環(huán)境的變化，對現(xiàn)有的測量指標(biāo)進(jìn)行修訂或完善。

 

三、結(jié)束語

 

為了更好管理和改進(jìn)信息安全管理體系，需要對其進(jìn)行有效性測量。測量的內(nèi)容應(yīng)當(dāng)有意義，如果測量的結(jié)果對改進(jìn)信息安全管理體系沒有任何幫助或者難以理解，那么，該測量就是不成功的，也就沒有必要進(jìn)行該測量。

 

本文作者:陳志佳 秦峰