1.對信息安全管理目標考核的需要

 

電力企業在建立信息安全管理體系時會依據自身業務發展、各方利益需求及自身的信息安全管理能力等級，來設置自身信息安全管理的目標。通過有效性測量，不但可以對信息安全目標執行狀況進行考核，準確評估信息安全管理體系的運行效果，而且還能為管理層對信息安全管理的資源投入提供數據依據。

 

2.信息安全管理體系持續改進的重要依據

 

通過有效性測量，能夠反映出當前信息安全管理中所存在的問題及問題的嚴重程度，為今后的信息安全管理工作提供有力的依據。

 

3.信息安全管理工作績效考核的需要

 

有效性測量結果不僅是評價信息安全管理體系績效的重要標準，也是對信息安全管理工作績效的展示。通過有效性測量的數據，不但可以使管理者清晰地了解信息安全管理工作，還能增強信息安全管理工作人員的信心。4.ISO/IEC27001信息安全管理體系的有效性要求在ISO/IEC27001：2005的4.2.2中有測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性的要求。在ISO/IEC27001的4.2.3中，又要求定期對信息安全管理體系的有效性進行評審，以及通過對控制措施的有效性測量來檢驗安全需求是否被滿足。最后在ISO/IEC27001的7.2中，將有效性測量的結果作為信息安全管理體系管理評審的一個輸入內容，單獨列成了一項。以上這些條款都在ISO/IEC27001的正文部分，足以說明有效性測量對信息安全管理體系的重要程度。

 

二、如何進行有效性測量

 

1.選擇、設計測量指標

 

按照循序漸進原則，有效性測量工作，首先將集中在對電力企業而言相對重要的信息技術服務流程和信息安全的重點管控領域，測量的參考依據為體系各級文件管理制度。有效性測量主要包括且不限于以下各指標。信息技術服務管理體系運行指標、重要流程的運行指標、信息安全管理體系運行指標、員工信息安全意識管理指標、信息系統建設管理指標、信息系統運維管理指標和服務可用性連續性管理指標等。例如，信息技術服務管理體系運行指標包括且不限于以下內容：本地網絡系統正常運行率；廣域網系統正常運行率；業務應用平均運行率；已建立完備的運行記錄的流程占流程總數的比例；依照制度要求組織評審并及時進行完善和修訂的流程占流程總數的比例；各流程負責人依照制度要求按時提交相關服務報告的比例。信息安全管理體系運行指標可包括且不限于以下內容：信息安全管理人員占全體員工的比例；信息安全風險評估的實施頻次；信息安全全員意識培訓開展次數；信息安全管理制度的修訂周期；信息安全相關法律法規的更新周期。員工信息安全管理指標可包括且不限于以下內容：接受信息安全培訓的員工占全體員工的比例；員工內網辦公電腦上桌面防護客戶端軟件的安裝比例；信息安全檢查中發現的員工違反信息安全制度的不符合項比例；因違反信息安全管理制度而受到懲戒的員工比例；重大信息安全事件發生的次數。信息系統建設管理指標可包括且不限于以下內容：根據相關制度要求在系統上線前及時移交所有文檔（包括安全評審文檔）的信息系統占所有新上線系統的比例。信息系統運維管理指標可包括且不限于以下內容：因操作不當而引起的重大信息安全事件的次數；已經制定了文檔化的操作程序的信息系統比例。

 

2.實施有效性測量

 

測量的過程主要是指數據的收集、存貯和驗證。收集是指定期通過設定的測量方法收集要求的數據，存貯是指對包括日期、地點、收集人、信息所有者、信息收集過程中發生的事件的文檔化，最后是對所收集的數據進行驗證和測量確認。在測量過程中，測量數據的客觀準確應當被當作重點內容來對待，盡量避免操作者測量自己的工作，以確保后續流程不會受到測量的影響；在測量結果的記錄時，也應將測量過程中產生的誤差等因素考慮進去。每年組織召開一次管理評審會議。在管理評審會議之前，體系推進工作組應依據本規定，組織各部門開展企業范圍內的信息技術服務和信息安全管理體系有效性測量活動。企業信息技術服務和信息安全管理體系有效性測量活動的完成時間也可安排在信息技術服務和信息安全管理體系內審活動開始之前，以保證通過內審活動能有效地檢驗測量指標的正確性。

 

3.有效性測量的持續改進

 

根據“循序漸進、持續改進”的原則，信息安全管理小組應負責對信息安全測量體系不斷完善。電力企業內各部門應該對信息安全測量指標的建設和運行目標定期地組織評估，結合實際環境的變化，對現有的測量指標進行修訂或完善。

 

三、結束語

 

為了更好管理和改進信息安全管理體系，需要對其進行有效性測量。測量的內容應當有意義，如果測量的結果對改進信息安全管理體系沒有任何幫助或者難以理解，那么，該測量就是不成功的，也就沒有必要進行該測量。

 

本文作者:陳志佳 秦峰