1.對(duì)信息安全管理目標(biāo)考核的需要

 

電力企業(yè)在建立信息安全管理體系時(shí)會(huì)依據(jù)自身業(yè)務(wù)發(fā)展、各方利益需求及自身的信息安全管理能力等級(jí)，來(lái)設(shè)置自身信息安全管理的目標(biāo)。通過(guò)有效性測(cè)量，不但可以對(duì)信息安全目標(biāo)執(zhí)行狀況進(jìn)行考核，準(zhǔn)確評(píng)估信息安全管理體系的運(yùn)行效果，而且還能為管理層對(duì)信息安全管理的資源投入提供數(shù)據(jù)依據(jù)。

 

2.信息安全管理體系持續(xù)改進(jìn)的重要依據(jù)

 

通過(guò)有效性測(cè)量，能夠反映出當(dāng)前信息安全管理中所存在的問(wèn)題及問(wèn)題的嚴(yán)重程度，為今后的信息安全管理工作提供有力的依據(jù)。

 

3.信息安全管理工作績(jī)效考核的需要

 

有效性測(cè)量結(jié)果不僅是評(píng)價(jià)信息安全管理體系績(jī)效的重要標(biāo)準(zhǔn)，也是對(duì)信息安全管理工作績(jī)效的展示。通過(guò)有效性測(cè)量的數(shù)據(jù)，不但可以使管理者清晰地了解信息安全管理工作，還能增強(qiáng)信息安全管理工作人員的信心。4.ISO/IEC27001信息安全管理體系的有效性要求在ISO/IEC27001：2005的4.2.2中有測(cè)量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測(cè)量措施來(lái)評(píng)估控制措施的有效性的要求。在ISO/IEC27001的4.2.3中，又要求定期對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，以及通過(guò)對(duì)控制措施的有效性測(cè)量來(lái)檢驗(yàn)安全需求是否被滿足。最后在ISO/IEC27001的7.2中，將有效性測(cè)量的結(jié)果作為信息安全管理體系管理評(píng)審的一個(gè)輸入內(nèi)容，單獨(dú)列成了一項(xiàng)。以上這些條款都在ISO/IEC27001的正文部分，足以說(shuō)明有效性測(cè)量對(duì)信息安全管理體系的重要程度。

 

二、如何進(jìn)行有效性測(cè)量

 

1.選擇、設(shè)計(jì)測(cè)量指標(biāo)

 

按照循序漸進(jìn)原則，有效性測(cè)量工作，首先將集中在對(duì)電力企業(yè)而言相對(duì)重要的信息技術(shù)服務(wù)流程和信息安全的重點(diǎn)管控領(lǐng)域，測(cè)量的參考依據(jù)為體系各級(jí)文件管理制度。有效性測(cè)量主要包括且不限于以下各指標(biāo)。信息技術(shù)服務(wù)管理體系運(yùn)行指標(biāo)、重要流程的運(yùn)行指標(biāo)、信息安全管理體系運(yùn)行指標(biāo)、員工信息安全意識(shí)管理指標(biāo)、信息系統(tǒng)建設(shè)管理指標(biāo)、信息系統(tǒng)運(yùn)維管理指標(biāo)和服務(wù)可用性連續(xù)性管理指標(biāo)等。例如，信息技術(shù)服務(wù)管理體系運(yùn)行指標(biāo)包括且不限于以下內(nèi)容：本地網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行率；廣域網(wǎng)系統(tǒng)正常運(yùn)行率；業(yè)務(wù)應(yīng)用平均運(yùn)行率；已建立完備的運(yùn)行記錄的流程占流程總數(shù)的比例；依照制度要求組織評(píng)審并及時(shí)進(jìn)行完善和修訂的流程占流程總數(shù)的比例；各流程負(fù)責(zé)人依照制度要求按時(shí)提交相關(guān)服務(wù)報(bào)告的比例。信息安全管理體系運(yùn)行指標(biāo)可包括且不限于以下內(nèi)容：信息安全管理人員占全體員工的比例；信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施頻次；信息安全全員意識(shí)培訓(xùn)開(kāi)展次數(shù)；信息安全管理制度的修訂周期；信息安全相關(guān)法律法規(guī)的更新周期。員工信息安全管理指標(biāo)可包括且不限于以下內(nèi)容：接受信息安全培訓(xùn)的員工占全體員工的比例；員工內(nèi)網(wǎng)辦公電腦上桌面防護(hù)客戶端軟件的安裝比例；信息安全檢查中發(fā)現(xiàn)的員工違反信息安全制度的不符合項(xiàng)比例；因違反信息安全管理制度而受到懲戒的員工比例；重大信息安全事件發(fā)生的次數(shù)。信息系統(tǒng)建設(shè)管理指標(biāo)可包括且不限于以下內(nèi)容：根據(jù)相關(guān)制度要求在系統(tǒng)上線前及時(shí)移交所有文檔（包括安全評(píng)審文檔）的信息系統(tǒng)占所有新上線系統(tǒng)的比例。信息系統(tǒng)運(yùn)維管理指標(biāo)可包括且不限于以下內(nèi)容：因操作不當(dāng)而引起的重大信息安全事件的次數(shù)；已經(jīng)制定了文檔化的操作程序的信息系統(tǒng)比例。

 

2.實(shí)施有效性測(cè)量

 

測(cè)量的過(guò)程主要是指數(shù)據(jù)的收集、存貯和驗(yàn)證。收集是指定期通過(guò)設(shè)定的測(cè)量方法收集要求的數(shù)據(jù)，存貯是指對(duì)包括日期、地點(diǎn)、收集人、信息所有者、信息收集過(guò)程中發(fā)生的事件的文檔化，最后是對(duì)所收集的數(shù)據(jù)進(jìn)行驗(yàn)證和測(cè)量確認(rèn)。在測(cè)量過(guò)程中，測(cè)量數(shù)據(jù)的客觀準(zhǔn)確應(yīng)當(dāng)被當(dāng)作重點(diǎn)內(nèi)容來(lái)對(duì)待，盡量避免操作者測(cè)量自己的工作，以確保后續(xù)流程不會(huì)受到測(cè)量的影響；在測(cè)量結(jié)果的記錄時(shí)，也應(yīng)將測(cè)量過(guò)程中產(chǎn)生的誤差等因素考慮進(jìn)去。每年組織召開(kāi)一次管理評(píng)審會(huì)議。在管理評(píng)審會(huì)議之前，體系推進(jìn)工作組應(yīng)依據(jù)本規(guī)定，組織各部門開(kāi)展企業(yè)范圍內(nèi)的信息技術(shù)服務(wù)和信息安全管理體系有效性測(cè)量活動(dòng)。企業(yè)信息技術(shù)服務(wù)和信息安全管理體系有效性測(cè)量活動(dòng)的完成時(shí)間也可安排在信息技術(shù)服務(wù)和信息安全管理體系內(nèi)審活動(dòng)開(kāi)始之前，以保證通過(guò)內(nèi)審活動(dòng)能有效地檢驗(yàn)測(cè)量指標(biāo)的正確性。

 

3.有效性測(cè)量的持續(xù)改進(jìn)

 

根據(jù)“循序漸進(jìn)、持續(xù)改進(jìn)”的原則，信息安全管理小組應(yīng)負(fù)責(zé)對(duì)信息安全測(cè)量體系不斷完善。電力企業(yè)內(nèi)各部門應(yīng)該對(duì)信息安全測(cè)量指標(biāo)的建設(shè)和運(yùn)行目標(biāo)定期地組織評(píng)估，結(jié)合實(shí)際環(huán)境的變化，對(duì)現(xiàn)有的測(cè)量指標(biāo)進(jìn)行修訂或完善。

 

三、結(jié)束語(yǔ)

 

為了更好管理和改進(jìn)信息安全管理體系，需要對(duì)其進(jìn)行有效性測(cè)量。測(cè)量的內(nèi)容應(yīng)當(dāng)有意義，如果測(cè)量的結(jié)果對(duì)改進(jìn)信息安全管理體系沒(méi)有任何幫助或者難以理解，那么，該測(cè)量就是不成功的，也就沒(méi)有必要進(jìn)行該測(cè)量。

 

本文作者:陳志佳 秦峰