李尧

（工业和信息化部电子第五研究所，广东 广州 510610）

1 引言

随着企业对信息安全工作重视程度的日益提升，不少企业都实施了基于ISO/IEC 27001：2005的信息安全管理体系（ISMS）来保护企业的重要信息。但是体系建立起来的一段时间之后，不少管理者就会有这样的疑问： “这些控制措施是否依然有效？怎么去证明它们的效果？”这就引出了我们的问题：如何对ISMS的有效性进行测量？

在ISO/IEC 27001:2005的4.2.2中要求，在实施和运行ISMS的过程中要定义有效性测量方案及结果是如何使用的；4.2.3中又要求定期对ISMS的有效性进行评审以及通过对控制措施的有效性测量来检验安全需求是否被满足；最后在7.2中将有效性测量的结果作为ISMS管理评审的一个输入内容单独列成了一项。上述内容在ISO/IEC 27001：2005中都是正文部分的要求，也就是不可删减的内容，这些足以说明有效性测量对ISMS体系的重要程度。

针对这种情况，国际标准化组织（ISO）在2009年发布了ISO/IEC 27004：2009（信息技术-安全技术–信息安全管理测量）标准，为如何建立及测量ISMS及其控制措施提供了指导性建议。下面我们依照ISO/IEC 27004：2009的指导来分析一下如何对ISMS的有效性进行测量。

2 为什么要对ISMS的有效性进行测量

在建立了ISMS体系之后，很多人都以为这样就万事大吉了，可以高枕无忧地待在安全的ISMS中了，但是殊不知这种想法正是最大的隐患。试想想PDCA中建立ISMS体系的过程占了整个PDCA的多大比重？P、D才50%，另外的50%呢？当然是对体系进行不断的改善和提高，信息安全没有100%的安全，技术在不断地进步，我们的ISMS也需要不断地调整来适应新的技术和新的环境。

这么多的控制措施，要是每次调整都对整个体系的每项控制措施进行改善工作，那么工作量就太大了，其中不少的内容其实是没有必要经常改进的，例如：对于使用哪款防火墙或杀毒软件大可不必进行频繁的评估，每个月都想着是不是要换软件是没有必要的；此外，在控制措施的变更过程中也存在一定的风险，可能会由于微小的调整带来更大的风险，这样就得不偿失了，还是上面的例子：一有新的杀毒软件面世就要更换的话，工作量先不说，新软件的兼容性及不稳定性带来的危险是不得不考虑的。那么到底是调整还是不调整呢？答案当然是肯定的，但是要注意的是调整什么以及在什么时候调整。

2.1 检验ISMS控制措施的效果（验证安全需求是否被满足）

组织在建立ISMS的时候都会以组织业务的发展目标和各利益相关方的安全要求作为信息安全管理体系目标的重要参考，为了达到这些目标，通过对ISO/IEC 27001：2005附录A中的11个控制项、39个控制目标和133个控制措施的执行，尽量降低组织所面临的各种信息安全风险。在实施和运行这些控制措施的过程中，难免会出现各种各样的变化，包括由于组织业务的增长带来的新的安全隐患；由于组织架构的调整引起的风险的转移；由于法律法规的重大变更导致的信息安全管理体系的不符合性等问题。在实际的体系运行过程中，对这些问题的意识和发现过程可能并不如想象中的简单和直接，不少变化可能在问题出现之后才被发现，就像对待疾病一样，预防永远胜过治疗，我们也需要及时地发现这些变化带来的潜在问题，同时争取做到提前预防从而将风险带来的影响控制在可接受的范围内。这也就是为什么我们光装个杀毒软件并不解决问题，还需要定期地更新病毒库和升级软件版本来抵御更新的病毒技术。所以，通过对ISMS进行定期的有效性测量来检验已实施的控制措施是否都还适用和有效，也就是确认我们的安全需求是否都有合适的措施来满足。

2.2 信息安全管理工作的绩效考核

第二个方面需要通过有效性测量来达到目的的是信息安全管理工作的绩效考核。投入自然希望看到产出，传统的信息安全管理方式只有投入，对于产出，大多数技术人员的回答就是 “没有安全事故就是最好的效果”，但是，殊不知领导们希望看到的是发生了什么，而不是什么都没发生。通过ISMS的有效性测量可以给管理者数据方面的支持，让其能直观地理解ISMS体系的实际效果，同时也可以通过对相关指标的对比和检查来展示ISMS管理工作人员的工作绩效。例如：不少管理者都对防火墙这个东西不太相信，总觉得有杀毒软件就行了，有问题都是杀毒软件先跳出来，但是他们不知道的是每天防火墙抵御了几百上千次的网络攻击和恶意扫描，这个时候就需要通过一系列的数字来体现防火墙的功效了。

以上这个道理同样适用于我们的客户和ISMS体系的管理工作者，他们一样也需要某种直观的方式来了解ISMS的工作状况以及所带来的效果：客户希望看到自己的供应商在这方面的工作卓有成效，能很好地保护他们的信息资产；管理工作者也期待自己的辛勤工作能有回报，体现出自己对组织的价值从而增强工作的积极性。

2.3 为ISMS改进提供重要的依据

最后一点是，有效性测量的结果能给ISMS改进提供重要的参考信息和改进依据。对ISMS的改进需要有目的地进行，在133个控制措施中，需要调整和改进的措施不在少数，但是如何确定哪些优先级更高，当然需要量化的指标来排序，那么这些量化的指标就是通过有效性测量来获得。同时，通过这些测量的指标还能给ISMS的改进指出合适的时间，也就是可以对ISMS体系的运行情况可以做出趋势分析，以找出最佳的调整时机。

3 怎样建立有效性测量体系

ISO/IEC 27004：2009标准的第7章介绍了建立ISMS有效性测量体系的主要流程，包括：识别信息需求、选择测量对象和测量属性以及形成测量构想。图1展示了有效性测量体系中的各个部分是如何联系在一起的：

3.1 识别信息需求

要对ISMS的有效性进行测量，首先我们需要参考组织的业务目标以及当前ISMS的运作情况来识别出信息需求，也就是我们想知道什么信息。在确定信息需求的时候可以将相关人员的反馈及过去发生的信息安全事件考虑进去。同时要注意信息需求的数量要控制在一定的限度内，以控制测量需要花费的时间以及报告中测量结果的数量，从而使管理层在参看报告并做决定的过程中不至于被太多的信息分散了应该关注的重点。

对于信息需求的识别可以通过以下活动来发现：

1）检查ISMS方针和目标、控制目标和控制措施；

2）参照法律法规的规定和合同以及组织在信息安全方面的要求；

3）信息安全风险管理过程的输出，例如：风险评估报告、残余风险处理情况等。

识别出主要的信息需求之后再对其进行优先级排序，参考标准有以下内容：

1）风险处置优先级；

2）组织的能力和资源；

3）利益相关人的关注点；

4）信息安全策略；

5）满足法律法规及合同要求的信息需求；

6）信息的价值与测量的成本之间的关系。

排好优先顺序之后需要从中挑选出合适的需求，并将文档化的信息需求传递给相关的人员。

3.2 选择测量对象和测量属性

既然确定了我们需要获取的是什么信息，接下来就应该找出能体现这些信息的关键目标，也就是这里说的测量对象，例如：

1）产品和服务；

2）流程；

3）组织资产（ISO 27001中识别出的资产）；

4）业务单元；

5）地理位置；

6）第三方服务。

要获得测量对象的相关状态就要对其某方面的属性进行测量。从图1中我们可以看出一个测量对象可以有多个测量属性，在有需要的情况下可考虑对同一测量对象的多个属性同时测量。

对测量属性的选择时应考虑以下方面：

1）相关的测量方法应当能被识别；

2）测试结果应当有意义；

3）测量数据获得的困难程度不应太高；

4）挑选测量属性时不应首先考虑测量的难易度；

5）是否有足够的人手和资源去收集和处理数据；

图1 信息安全测量体系模型

6）测量结果不应太难描述；

7）测量目标是否满足测量目的或信息需求；

8）数据采集、管理和分析的成本。

选定的测量属性决定了基本测量应当采用何种方法，同时要对测量对象、测量属性以及选择原理进行文档化，以确保未来测量的可重现性和可比较性。

比较常见的测量对象（以及对应的测量属性）有：

1）恶意软件防护（部门计算机病毒感染次数、恶意软件导致的事件）；

2）网络安全管理（由于网络故障导致的业务中断次数）；

3）人力资源安全（保密协议签订率、员工参加信息安全入职培训百分比、员工对ISMS体系理解程度）；

4）业务连续性管理（因信息安全事件导致的客户投诉次数、故障计算机及时处理率）；

5）信息和信息处理设施的完整性及可用性（重要信息备份及时率、容量不足而造成的工作延迟次数）；

6）ISMS审核流程（内部审核不符合整改率）；

7）访问控制（门禁系统日志检查报警次数，来访人员登记百分比）；

8）信息系统安全（信息处理设施维护率）；9）第三方服务管理（第三方服务次数）；10）口令策略（计算机口令强度符合率）。

3.3 形成测量构想

经过以上3个步骤之后，已经挑选出需要实际测量的东西（也就是测量属性），接下来需要设计的就是如何对挑选出的测量属性进行测量。

再来参照图1，首先我们需要设计一套测量方法，通过主观或客观的方法来对挑选出的测量属性进行基本测量；基本测量时需要注意的有以下内容：

1）要有合适的标尺，将测量的结果适当地量化；

2）要有确认过程，以确保测量的过程是与设计的过程保持一致；

3）应当考虑测量方法的精确度并记录其误差；

4）测量方法在一定的时间内应当保持稳定，确保测量结果的可比较性。

其次通过各种分析方法（例如：取平均值、使用权重法分析或定性分析）对基本测量的结果进行处理，并生成衍生测量。衍生测量和基本测量的结果通过分析模型产生指标性的结果，这些结果可以被当作测量的结果来使用，也可以与决策标准对照而产生正式的测量报告并传送到相关人员的手中。

一般的测量构想中应至少包含以下内容：

1）测量的目的；

2）测量的控制措施、ISMS流程等目标；

3）测量对象；

4）需要收集和被使用的数据；

5）数据收集和分析的流程；

6）测量结果的报告流程和格式；

7）相关人的角色和职责；

8）确保测量体系对相关的信息需求有效的审核循环。

到这里，PDCA的P已经完成了，下面来看看DCA过程。

4 ISMS有效性测量体系的运行及改进

4.1 测量过程

依照第3节内容建立的有效性测量体系在实际的操作过程中需要确保能够获得足够准确的信息来验证ISMS的有效性。测量的过程主要是指数据的收集、存储和验证；收集是指定期通过设定的测量方法来收集要求的数据，存储是指对包括日期、地点、收集人、信息所有者以及信息收集过程中发生的事件的文档化，最后是对所收集的数据进行验证和测量确认。在测量过程中，测量数据的客观、准确应当被当作重点内容来对待，尽量避免操作者测量自己的工作，以确保后续流程不会受到测量的影响；在测量结果的记录时也应将测量过程中产生的误差等因素考虑进去。

4.2 数据分析和结果计算

接下来需要对测量的数据进行处理，这一步骤包含2个活动：

1）分析测量数据并产生结果；

2）与相关人员沟通测量结果。

在数据的分析过程中可以先对数据进行整合、转换等操作，之后再使用各种计算方法或工具产生指标性的结果。通过指标性的结果分析出实际测量值与期望值之间的差距，并通过该差距发现ISMS中需要改进的方面（包括范围、策略、目标、控制措施、流程和程序等）。

ISO/IEC 27004：2009中认为导致实测值和期望值之间差距的原因主要是风险评估的失败和风险处置计划未实施或实施有漏洞所产生的，这里也印证了我们建立ISMS的主要工作就是评估风险和处置风险。

结果产生了，自然需要通过报告的形式提交给相关的人员使用，这里由于是对ISMS体系的验证，所以更多的是在组织内部使用该结果，如果需要分发给外部使用时，应当先对报告中的敏感信息进行处理，同时管理层和相关方需要审批才能提交给组织外部的相关人员。

4.3 信息安全测量程序的评估和改进

测量的结果产生了，要保证测量结果的有效性和适用性，接下来需要实施评估和改进措施对有效性测量体系本身进行评价和调整了。评价的原则是要判断该体系是否还有效，以及产生的结果是否满足相关的信息需求。对于测量体系的评价常用的标准包括：

1）组织业务目标的变更情况；

2）信息安全相关的法律法规和合同要求的变更情况；

3）组织的信息安全要求的变更情况；

4）组织的信息安全风险的变更情况；

5）有效或合适的测量数据及测量方法的增加；

6）测量对象和测量属性的变化情况。对于测量结果的评价常用标准包括：

1）测量结果的易懂性，测量结果提交的及时性以及测量结果的客观性、可比较性和可重现性；

2）对测量结果产生过程是否有完善的定义、操作的难易程度以及是否严格遵照定义的流程；

3）测量结果对于改进ISMS的实用性；

4）测量结果与相应的信息需求是否想对应。

依照以上内容对有效性测量体系进行评价之后，对于不再适用的测量构想应当修改或取消，同时应当重新分配相关的资源以支持其它测量构想。

到这里为止，我们的有效性测量PDCA过程已经完成了，但是与其它管理体系相似的，有效性测量体系也需要高层管理者的大力支持和各相关方的有效反馈来确保该体系的有效运行。

5 案例分析

下面我们通过一个例子来看看A公司是如何识别ISMS有效性测量的信息需求的：

依靠从国外引进的新技术带来的优势，A公司在前几年一直发展的非常迅猛，但是这也引起了竞争对手的注意，2009年接二连三地发生了几起技术泄密事件后，公司管理层决定要对公司的技术秘密进行更好的保护。在重新对公司进行了风险评估以后发现泄密的主要原因是公司网络防护措施不足，被外部公司渗透并窃取了重要资料，加上参照公司的业务目标 “以领先的技术占领市场”以及安全方针 “保护公司重要技术信息”以后，需要对访问控制和恶意攻击防护两方面进行测量，以找出需要改进的方面，同时确保已经实施的控制措施的有效性。

为了对已经建立的ISMS进行有效性测量，首先需要选择测量对象和测量属性。既然是要保护技术信息，防范外部攻击，那么测量的对象就是对外部攻击进行防范的措施，也就是恶意攻击防护措施。体现该措施有效性最合适的属性就是对恶意攻击是否都能阻止，但由于这个属性很难测量，我们可以用恶意攻击导致的安全事件和被阻截的恶意攻击这两个比较好测量并且能有实际的评价意义的指标来替代。

确定了测量对象和测量属性，在实施测量之前还需要进行最后一步，设计测量构想，这里的构想是指将整个测量和分析体系文档化，并在获取实际数据之前就构思好整个测量报告的产生过程，而不是等到获得数据之后再来考虑该如何使用这些数据，以防止测量数据不能使用或者不足够的情况。

依照设计好的测量构想对挑选出的恶意攻击导致的安全事件和被阻截的恶意攻击这两个属性进行测量，我们通过记录安全事件报告中恶意软件导致的安全事件数量以及计算被阻隔攻击的记录次数来对这两个测量属性进行量化测量，这就是基本测量。

在基本测量的基础上，通过公式 “恶意软件引起的安全事件数量/检测到以及阻止的恶意软件攻击数”得出衍生测量（恶意软件防护强度）的结果；接下来结合基本测量和衍生测量的结果，并与之前几次的测量结果进行比较，再使用分析模型描画出某个周期内检测到但并未阻止的攻击数的趋势；这个趋势图就是我们产生的指标性结果，对该曲线的分析可以得知恶意攻击防护的情况是在恶化还是在改进中，然后依照经验或专家的建议，设定一个门限（决策标准），将趋势图中的曲线与之比较，可得知当前的控制情况是否满足要求；这些分析会被形成一份报告，这份报告告诉了我们是否需要对现行的ISMS采取措施以及对应哪方面的问题来进行。具体如何处理就要看管理层的决定了，也就是在管理评审中参考这份报告中的建议。

6 结束语

为了很好地管理和改进ISMS，我们需要对其进行测量，测量的内容应当有意义，如果测量的结果对改进ISMS没有任何帮助或者难以理解，那么这个测量就是不成功的，也就没有必要进行这个测量。ISO/IEC 27004：2009标准给我们提供了一个很好的参考模型，去建立一套完整的测量体系，确保ISMS的有效运行及适当改进。

[1]ISO/IEC27001： 2005，Informationtechnology-security techniques-information security management systems[S].

[2]ISO/IEC27004： 2009，Informationtechnology-security techniques-information security managementmeasurements[S].