第頁共頁信息平安管理測評研究信息平安管理測評研究【摘要】：^p：信息平安管理測評是信息平安管理的一局部，作為衡量信息平安管理狀態及其績效的信息平安管理測評方法學的研究已成為迫切需要解決的重要課題，其對組織信息平安保障體系的建立、管理和改良具有重要意義。【關鍵詞】：^p：信息平安管理；測評；要素；指標中圖分類號：TP393文獻標識碼：A文章編號：1009-3044〔2023〕27-6080-03人類進入信息化社會，社會開展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資，在政治、經濟、國防、教育、科技、生活等發面發揮著重要的作用，另一方面由于信息技術的迅猛開展而帶來的信息平安事件、事故層出不窮，信息平安問題與矛盾日益突出。信息平安工程是一個多層面、多因素的、綜合的、動態的系統工程，其包括關鍵根底設施及硬件平安、運行平安、軟件平安、通信平安、人員平安、傳輸平安、網絡平安、人員平安等。組織要實現信息平安目的，就必須建立一套行之有效信息平安管理與技術有機結合的平安防范體系。信息平安管理包括制定信息平安策略〔包括方案、程序、流程與記錄等〕、風險評估、控制目的的選擇、控制措施的施行以及信息平安管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1]，強調了測量對組織管理的重要意義，信息平安管理同樣也離不開測評。如何對信息平安管理有效性等進展測量，根據測量的結果對組織信息平安管理情況進展評價并進一步指導信息平安管理，進步信息平安管理才能和程度，目前已經成為信息平安領域的一個研究熱點[2]。信息平安管理測評是組織圍繞信息化持續開展與信息平安保障的現狀和將來綜合才能的反映，不僅是對過去和如今的才能展現，而且為將來開展提供保障和動力。在我國，目前關于信息平安管理測評研究剛處于起步階段，還沒有一套可供使用的信息平安測評體系標準、方法等。因此，開展信息平安管理測評研究，對組織信息化建立既具有重要的現實意義也具有長遠的持續開展意義。1信息平安管理測評開展綜述與需求關于信息平安測評，美國早在2023年通過的《聯邦信息平安管理法案》中就要求各機構每年必須對其信息平安理論進展獨立測評，以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試，其頻率視風險情況而定，但不能少于每年一次。在獨立評價的根底上，聯邦管理與預算局應向國會上報評價匯總結果；而聯邦審計署那么需要周期性地評價并向國會匯報各機構信息平安策略和理論的有效性以及相關要求的執行情況。2023年7月，美國國家標準與技術研究所〔NationalInstituteofStandardsandTechnology，NIST〕發布了NISTSP800-55《信息技術系統平安測量指南》，其包括以下內容[3]：1〕角色和職責：介紹開展和執行信息平安測量的主要任務和職責。2〕信息平安測量背景：介紹測量定義、進展信息平安測量的好處、測量類型、幾種可以進展信息平安測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。3〕測量開展和執行過程：介紹用于信息平安測量開展的方法。4〕測量工程執行：討論可以影響平安測量工程的技術執行的各種因素。5〕以附件的形式給出的16種測量的模板。2023年11月17日，美國的企業信息平安工作組〔CorporateInformationSecurityWorkingGroup，CISWG〕發布了CISWGCS1/05-0079《帶有支撐管理測量的信息平安方案要素》[4]，2023年國際標準化組織〔ISO/IECSC27〕提出了信息平安管理體系〔InformationSecurityManagementSystems，ISMS〕的系列標準——ISO27000系列。2023年1月10日又發布了修訂版，并作為針對ISO/IEC2ndWD27004的奉獻文檔提交給ISO/IECJTC1SC27，該文檔是根據CISWG的最正確理論和測量小組的報告改編。2023年8月31日，美國國際系統平安工程協會〔InternationalSystemSecurityEngineeringAssociation，ISSEA〕針對ISO/IEC2ndWD27004向ISO/IECJTC1SC27提交了題為“ISSEAContributionBackground”[5]〔ISSEA測量的奉獻背景〕和“ISSEAMetrics”[6]〔ISSEA測量〕兩個奉獻文檔。2023年國際標準化組織〔ISO〕發布了ISO/IEC27004：2023〔信息技術一平安技術一信息平安管理測量〕標準，為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。信息平安管理體系是信息平安保障體系的重要組成局部。近年來，隨著組織對信息平安保障工作重視程度的日益增強，不少組織都根據標準GB/T22081-2023建立了一套比擬完善的ISMS來保護組織的重要信息資產，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持疑心的態度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進展科學的評價，進一步提升ISMS的執行力。該文研究的信息平安管理測評將為確定ISMS的實現目的，衡量ISMS執行的效力和效率提供一些思想、方法，其結果具有客觀的可比性，還可以作為信息平安風險管理、平安投入優化和平安實現變更的客觀根據，有助于降低平安風險，減少平安事件的概率和影響，改良平安控制和管理過程的效率或降低其本錢。2信息平安管理測評研究內容信息平安管理測評是信息平安管理體系的重要局部，是信息平安管理測量與評價的綜合。信息平安管理測量的結果是信息平安績效評價的根據。信息平安管理測量比擬詳細，信息平安管理評價那么通過詳細來反映宏觀。2.1信息平安管理測評要素及其框架信息平安管理測評要素包括：測評實體及其屬性、根底測評方式、根底測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析^p模型、指示器、決策準那么、測評需求和可測評概念等，其框架如圖3.1信息平安測評框架所示，包括：基于什么樣的需求來測評〔即測評需求〕，對什么進展測評〔即實體及其屬性〕，用什么指標體系來測評〔包括測評制式、測評變量和測評尺度〕，用什么方法來測評〔即測評方法〕，用什么函數來計算測評結果〔即測評函數〕，用什么模型來分析^p測評結果〔即分析^p模型〕，用什么方式來使分析^p結果可以輔助決策〔即指示器〕等問題。信息需求是測評需求方提出的對測評結果信息的需求。信息需求自于組織的使命和業務目的，與相關利益者的利益訴求親密相關。指示器的生成和分析^p模型的選擇是以信息需求為導向的。決策準那么是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準那么可能出自或基于對預期行為在概念上的理解和判斷。決策準那么可以從歷史數據、方案和探究中導出，或作為統計控制限度或統計信心限度計算出來。可測評概念是實體屬性與信息需求之間的抽象關系，表達將可測評屬性關聯到信息需求以及如何關聯的思想。可測評概念的例子有消費力、質量、風險、績效、才能、成熟度和客戶價值等。實體是能通過測評屬性描繪的對象。一個實體是測評其屬性的一個對象，例如，過程、產品、系統、工程或資。一個實體可能有一個或多個滿足信息需求的屬性。理論中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息平安管理測評的實體包括信息平安管理體系建立過程中所有的控制項〔信息平安管理測評要素〕。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息平安管理測評主要測評的是每一項控制措施的`屬性〔信息平安管理測評指標〕。測評是以確定量值為目的的一組操作。信息平安管理測評是確定控制項的每一個詳細指標的一組操作，可以有多種測評方法。根底測評是按照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息平安管理根底測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據屬性之間的關系來定義，他捕獲多個屬性或多個實體的一樣屬性的信息，其功能依賴于根底測評的，是兩個或更多根底測評值得函數。測評尺度是一組連續或離散的數字量值〔如小數/百分比/自然數等〕或離散的可數量值〔如高/中/低/等〕。測評尺度是標準測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。測評尺度根據尺度上量值之間關系的性質分為四種類型：名義〔Nominal〕：測評值是直呼其名。序數〔Ordinal〕：測評值是有等級的。間隔〔Interval〕：測評值是等間隔的，對應于屬性的等量，不可能是零值。比率〔Ratio〕：測評值是等間隔的，對應于屬性的等量，無該屬性為零值。測評單位是作為慣例定義和被廣泛承受的一個特定量。他被用作比擬一樣種類量值的基準，以表達他們相對于此量的量級。只有用一樣測評單位表達的量值才能直接比擬。測評單位的例子有公尺、公斤和小時等。測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析^p模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析^p模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析^p模型的選擇。測評方案定義了測評施行的目的、方法、步驟和資。測評頻率是測評方案的執行頻率。測評方案應按規定的頻度定期地或在必要的時候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的本錢之間的折中，可以是每周、每月、每季度或每年等。不定期執行的必要時候包括ISMS初始規劃和施行以及ISMS本身或運行環境發生重大變化。2.2信息平安管理測評量表體系任何測評都必須具備參照點、單位和量表三個要素。信息平安測評指標體系是信息平安測評的根底，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關聯，對他們進展評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T22081-2023是進展信息平安管理所參照的標準，其從信息平安方針、信息平安組織、法律法規符合性等11個方面，提出了133個控制措施供使用者在信息平安管理過程中選擇適當的控制措施來加強信息平安管理。該標準所提供的控制措施根本能覆蓋信息平安管理的各個方面。在建立信息平安管理測評指標體系的理論中，通常以控制措施的施行情況作為指標，建立預選指標集，通過對預選指標集的分析^p，采用專家咨詢的方式挑選出能全面反映信息平安管理有效性的詳細指標。3信息平安管理測評方法討論測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結合產生一個不同的根底測評。測評方法可能采用多種方式實現。測評規程描繪給定機構背景下測評方法的特定實現。測評方法根據量化屬性的操作性質分為兩種類型：主觀：含有人為判斷的量化。客觀：基于數字規那么〔如計數〕的量化。這些規那么可能通過人或自動手段來實現。測評方法的可能例子有：調查觀察、問卷、知識評估、視察、再執行、系統咨詢、測試〔相關技術有設計測試和操作有效性測試等〕、統計〔相關技術有描繪統計、假設檢驗、測評分析^p、過程才能分析^p、回歸分析^p、可靠性分析^p、取樣、模擬、統計過程控制〔SPC，statisticalProcesscontrol〕圖和時序分析^p等〕。4完畢語當前，信息平安領域的測評研究多側重于對技術產品、系統性能等方面的測評，其中信息平安風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息平安狀況；信息平安審計那么只是對信息平安相關行為和活動提供相關證據；而信息平安管理評審那么是符合性審核，他們都不能對信息平安管理的有效性以及信息平安管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息平安管理的有效性進展測評，這將有助于理解信息平安管理過程中所采取的控制措施的有效性以及控制措施的執行情況，為管理者決策提供根據，也能為組織信息平安管理過程的持續改良提供足夠的幫助，到達更好地管理信息平安的最終目的。【參考文獻】：^p：[1]閆世杰，閔樂泉，趙戰生.信息平安管理測量研究[J].信息平安與通信保密，2023，5：53.[2]朱英菊，陳長松.信息平安管理有效性的測量[J].信息網絡平安，2023，1：87-88.[3]NistN.800-55.securitymetricsguideforinformationtechnologysystems[J].NISTpaper，2023.[4]CISWGCS1/05-0079.InformationSecurityProgramElementswithSupporti