译 / 商嫣然

如何衡量信息安全的有效性

译 / 商嫣然

在信息安全方面，我们要尽可能做到十分的小心。保护个人信息记录和商业敏感信息至关重要。但是为什么说ISO/IEC 27001信息安全管理体系（ISMS）正在让这一问题发生重大改变呢？一项新的ISO/IEC国际标准可以帮您解答。

最近更新的ISO / IEC 27004：2016《信息技术安全技术 信息安全管理 监视﹑测量﹑分析和评估》，为如何评估ISO / IEC 27001的性能提供了指导。该标准解释了如何开发和操作测量过程，以及如何评估和报告一组信息安全度量的结果。

开发标准工作组（ISO/IEC JTC 1 / SC 27）召集人Edward Humphreys教授说：“网络攻击是一个组织可能面临的最大风险之一。这就是为什么改版后的ISO/IEC 27004为许多正在实施ISO / IEC 27001保护自己免受日益多样化的安全攻击的组织提供了必要和实际的支持。”

安全指标可以提供关于信息安全管理体系的有效性的见解，并因此占据至关重要的位置。无论你是一名工程师还是负责安全且为管理人员或行政人员提供更多有效信息的顾问，安全指标已成为沟通组织机构网络风险态势的重要工具。

用Humphreys教授的话来说：“组织需要得到帮助，来解决其在信息安全管理方面的投资是否有效的问题，以便作出适当的反应，捍卫和应对不断变化的网络风险环境。这就是ISO/IEC 27004能为我们提供的众多优势。”

ISO/IEC 27004：2016展示了如何构建测量信息安全的方案，如何选择测量对象，以及如何操作必要的测量过程。包括大量不同类型措施的例子，以及对这些措施的有效性的评估。

总的来说，ISO/IEC 27004对组织的益处体现为：

＊ 增加问责制；

＊ 改进信息安全性能和信息安全管理过程；

＊ 符合ISO/IEC 27001要求，可以作为适用相关法律﹑法规的证据。

ISO/IEC 27004：2016代替2009版；标准被更新和扩展，是为了与修订后的ISO/IEC 27001一道为企业提供更大的附加值和信心。

ISO/IEC 27004：2016由ISO/IEC JTC 1（信息技术委员会）中的SC 27（信息安全技术小组委员会）开发，其秘书处设在DIN。

（原文标题：How to measure the effectiveness of information security，作者： Elizabeth Gasiorowski-Denis，译自ISO官网）