ISO IEC 27004-2009信息安全测量中文版

巡山小妖精
974次浏览
2021年02月21日 08:04
最佳经验
本文由作者推荐

-

2021年2月21日发(作者:强迫症自测表)






信息技术—安全技术—信息安全管理—测量



27004 N6614 (FCD)



标准草案





























1




目录





0


介绍



. .................................................. .....................


4


0.1


概述



.............. .................................................. ......


4


0.2


管理层概述



........... .................................................. ...


4




1


范围



. .................................................. .....................


5




2


规范性引用



........... .................................................. .....


5




3


术语和定义


................................................ ..................


5




4


本标准的结构



.......... .................................................. ....


9




5


信息安全测量概述


...... .................................................. ....


9


5.1


信息安全目标



.......... .................................................. ..


9


5.2


信息安全测量项目


................... ......................................


10


5.3


信息安全测量模型


................... ......................................


12


5.3.1


基本测度和测量方法


.................. ...................................


13


5.3.2


导出测度和测量函数


. .................................................. ..


13


5.3.3


指标和分析模型


.................... .....................................


14


5.3.4


测量结果和决策准则


.................. ...................................


15




6.


管理职责



............ .................................................. ....


15


6.1


概述



.............. .................................................. .....


15


6.2


资源管理



............ .................................................. ...


16


6.3


测量培训,意识和能力


................. ....................................


16




7.


测度和测量开发



......... .................................................. .


16


7.1


概述



.............. .................................................. .....


16


7.2


测量范围识别



.......... .................................................. .


16


7.3


信息需要识别



.......... .................................................. .


17


7.4


对象识别



............ .................................................. ...


18


7.5


测量开发和选择


.................... .......................................


18


7.5.1


测量方法



............ .................................................. .


18


7.5.2


测量函数



............ .................................................. .


19


7.5.3


利益相关方



........... ..................................................


19


7.5.4


属性选择和评审


.................... .....................................


19


7.5.5


分析模型



............ .................................................. .


20


7.5.6


指标和报告格式


.................... .....................................


20


7.5.7


决策准则



............ .................................................. .


20


7.6


测度证实



............ .................................................. ...


21


7.7


数据收集、分析和报告


................. ....................................


21


7.8


记录



................................................. ....................


22



2




8.


测量运行



............ .................................................. ....


22


8.1


概述



.............. .................................................. .....


22


8.2


规程整合



............ .................................................. ...


22


8.3


数据收集和处理


.................... .......................................


23




9.


测量分析和报告



......... .................................................. .


23


9.1


概述



.............. .................................................. .....


23


9.2


分析数据和产生测量结果


................ ...................................


23


9.3


沟通结果


< br>............................................... ..................


24




10.


测量项目评价和改进


.................. .....................................


25


10.1


概述



.............. .................................................. ....


25


10.2


识别测量项目的评价准则


..................................................


25


10.3


监控、评审与评价测 量项目


.................................... .............


26


10.4


实施改进



............ .................................................. ..


26




附录


A


(资料性附录)



信息安全测量模板



........ .................................


27




附录


B


(资料性附录)



测度范例



............ .....................................


29




参考文献



............ .................................................. .......


31


3



0


介绍



0.1


概述



本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系



ISMS


)的有效性,包括


ISO/I EC


27001


中用来实施和管理信息安全的


ISMS


策略、控制目标和安


全控制措施。

< p>


通过使用信息安全测度,组织能识别现有信息安全管理体系的充分性,包 括策略、风险管


理、控制目标、控制措施、过程和规程,并支持组织进行过程的修订,决 定哪些


ISMS


过程或控


制措施应该变 更和改进。



对该方法的实施组成了一个信息安全测量项目。信 息安全测量项目将帮助管理层识别和评


价不符合和无效的控制措施,以及排列与这些控制 措施改进或变更相关行动的优先次序。测量


项目也能帮助组织展示与

ISO/IEC 27001


标准的符合程度,并能产生管理评审过程的输入。



对信息安全测量项目的实施,应该优先保证向利益相关方提供了关于各种最严重(或是最


高优先级别)


风险及其处置


/


控制措施状态的可靠信息。


本国际标准假定开发测量的起点是对组


织和利益相关方所面临信息安全风险的充分理解,并且风险评估过程已经按照

< br>ISO/IEC 27001


要求得到了正确地实施。



一个有效的信息安全测量项目应改进利益相关方对可提供状态信息的各种测量的信心,并


使利益相关方能使用这些测量有效持续改进信息安全和信息安全管理体系。



本国际标准的使用能够支持对一段时间内信息安全目标达成情况的比较,以 作为组织信息


安全管理体系持续改进过程的一部分。



本指南包括:



a)



开发测度;



b)



实施和运行一个信息安全测量项目;



c)



向利益相关方收集、分析和沟通测度;



d)



使用所收集的测度来帮助信息安全管理体系的相关决策;



e)



使用所收集的测度来有效改进信 息安全管理体系的控制目标和控制措施;



f)



促进信息安全测量项目的持续改进。



本国际标准提供了模板,可能对测量的管理有所帮助。




0.2


管理层概述



ISO/IEC 27001


要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性,并指< /p>


明这些测度是怎样被用来评估控制措施有效性,以产生可比较和可再现的结果。”



4



公认地,根据 多种因素,包括风险暴露、规模、资源可用性、能力、行为和部门需求的不


同,被组织采 用来测量控制措施有效性的方法也有所不同。仔细地选择和证明所使用的方法是


很重要的 ,这可以保证过多的资源不被投入到信息安全管理体系中某个方面,从而损害到其它


必要 的领域。明智地,应该将控制措施有效性测量纳入到组织的日常运作中,包括最小的附加


资源需求,以满足对测量的持续需求。



对所有组织来说,基本 规程的要求已概括在


0.1


(指南列表)中。然而,某个因素( 如系统


规模)可能影响组织测量控制措施有效性。一般而言,业务的规模和复杂度,及其 与信息安全


重要性的组合,将影响所需测量的扩展程度,无论是测度数量还是测量频度。 中小企业可以实


施基本理解意义上的信息安全测量项目,而大企业则可能多个信息安全测 量项目。



在初始实施和适当改进措施被实施后,整个测量过程 应该被评审。



本国际标准的使用将提供适当的文档和支持,这 将有助于展示控制措施有效性正在被测量


和评估。




1


范围



本国际标准为开发和使用测量提供了指南,以评估


ISO/IE C


27001


中所描述的信息安全管理


体系(


ISMS


)过程、控制目标以及控制措施的有效性。< /p>



本国际标准适用于任何类型和规模的组织。




2


规范性引用



以下的引用文档对本文的 应用是不可缺少的。对那些标有日期的引用,只有该引用的版本


才适用。对于没有标日期 的引用,应使用最新版本(包括任何修正文档)。





ISO/IEC 27001


,信息技术——安全技术——信息安全管理体系――要求




3


术语和定义



以下术语和定义适用于本标准:



3.1


测量分析模型


analytical model for measurement


分析模型


analytical model


将一个或多个基本测度和


/


或导出测度与相关决策准 则组合在一起的算法或计算。




3.2


5



属性


attribute



可由人或自动化工具定量或定性辨别的实体特征或特性。


[ISO/I EC 15939:2007]



3.3


基本测度


base measure



用某个属性及其量化方法定义的测度。


[ISO/IEC 15939:2007]



1


:一个 基本测度在功能上独立于其它测度。




3.4


控制措施


control



管理风险的方法,包括策略、规程、指南、惯 例或组织结构。它们可以是行政、技术、管理、


法律等方面的。


[ISO/IEC 27002:2005]


注:控制措施也用于防护措施或对策的同义词。




3.5


数据


data


赋予基本测度、导 出测度和(或)指标的值的集合。


[ISO/IEC 15939:2007]



3.6


决策准则


decision criteria


用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标或模式。


[ISO/IEC 15939:2007]



3.7


导出测度


derived measure


定义为两个或两个以上基本测度的函数的测度。

[ISO/IEC 15939:2007]



3.8


指标


indicator


对由规 定信息需要的相关模型导出的指定属性提供估算或评价的测度。


[ISO/IEC 15939:2007]



3.9


6



信息需要


information need

< p>
为管理目标、目的、风险和问题所必需的见解。


[ISO/IEC 15939:2007]



3.10


信息安全管理体系


information security management system (ISMS)


整体管理 体系的一部分,基于业务风险方法,建立、实施、运行、监控、核查、维持和改进信


息安 全


[ISO/IEC 27001: 2005]




注:管理系统包括组织 结构,策略,计划活动,责任,实践,规程,过程和资源。




3.11


ISMS


有效性


ISMS effectiveness



信息安全活动满足组织目标的程度。



注:在本标准中,效率仅关注于控制措施的有效性。




3.12


测度


Measure


一个变量, 该变量被赋值,作为执行一次测量的结果。


[ISO/IEC 15939:2007]


注:术语”


measures




用来指基本测度、导出测度,以及指标。




3.13


测量


measurement


一 个过程,包括信息安全管理体系和用以实现控制目标的控制措施的有效性,以及信息安全管


理体系各过程性能相关信息的获取,以及测量方法、测量函数、测量模型及测量准则的使用。

< br>



3.14


测量函数


measurement function < /p>


为组合两个或两个以上基本测度而执行的算法或计算。


[ISO/ IEC 15939:2007]



3.15


测量方法


measurement method


一般地描述为,用于以指定的标度量化属性的逻辑操作序列。


[ISO /IEC 15939:2007]


注:测量方法类型取决于用来量化属性的操作的 性质。可分为两种类型:



7



主观类――涉及人为判断的量化;



客观类――基于数字规则的量化。




3.16


测量结果


measurement results


针对信息安全需求的一个或多个指标及其相关的解释。




3.17


对象


object



一个对象通过对其属性的测量得以识别




3.18


标度


scale


一组有序的连续 或离散值,或与属性映射的类目。


[ISO/IEC 15939:2007]


注:标度类型取决于标度值间关系的性质,通常定义四种类型的标度:



标称标度――测量值是类目;



顺序标度――测量值是队列;



间隔标度――测量值的等距与属性的等量对应;



比率标度――测量值的等距与属性的等量对应,其中零值对应于无属性。




3.19


测量单位


unit of measurement



按约定定义和采用的具体量,其他同 类量与这个量进行比较,用以表示它们相对于这个量的大


小。


[ ISO/IEC 15939:2007]



3.20


确认


validation



通过提供客观证据,证实对某个有意使用或应用的需求已经得到满足。




3.21


验证


verification



通过提供客观证据,证实特定的要求已经得到满足。



8



注:也称为符合性测试




4


本标准的结构



除了为开发和使用测量提供了指南,以评估


ISO/IEC 2 7001


中所描述的信息安全管理体系



ISMS


)过程、控制目标以及控制措施的有效性外,本国际标准还提供了对测量过程 及其活动


的描述。



对信息安全测量项 目及其模型的概述和背景信息见第


5


节。


管理职责见第


6


节。



7


节到第


10


节描述了测量 项目中的各过程(详见


5.2


)。


< /p>


如何开发和记录测量的附加信息见附录。附录


A

< br>提供了测量模板的范例,附录


B


提供了使用


附录


A


中模板的测量范例。




5


信息安全测量概述



5.1


信息安全目标



在信息安全管理体系背景下,测量项目的目标可以包括:



a)



评价所实施信息安全控制目标和控制措施的有效性;



b)



评价信息安全管理体系有效性,包括持续改进循环;



c)



基于组织整体业务风险,促进信息安全的性能改进;



d)



提供客观数据和分析,来帮助管 理评审、辅助决策,以及向管理层证明控制措施的改


进;



e)



为安全审核提供输入;



f)



向相关的利益相关方沟通信息安全的有效性;



g)



作为风险管理过程的输入;



h)



为对有效性的内部比较和内部打分提供信息;以及



i)



支持对所识别安全需求满足到何种程度的验证。



一个特定组织的测量项目应当基于大量的考虑,包括:



a)



在支持组织整体业务活动和所面 临的风险方面,信息安全所扮演的角色;



b)



基于客观测量的持续改进;



c)



适用的法律、规章,以及合同要求;



d)



组织的架构;



e)



实施信息安全测量的成本和收益;以及



f)



组织对风险的接受态度。




1


解释了与


ISO/IEC 27001


中描述的


PDCA


循环相比,测量活动的输入-输入循环关系。



9





1 PDCA


循环中的测量输入与输出



为 了达到信息安全测量所建立的目标,并在所有测量活动中实施


PDCA

< br>循环,组织应该建立


并管理一个信息安全测项目(见


5. 2


)。为获得基于信息安全测量模型(见


5.3


)的可重复的、


客观的和有用的结果,组织还应建立一个测量活动框架。




5.2


信息安全测量项目



一个信息安全测量 项目通过使用测度,识别和评价信息安全管理体系的充分性和有效性,


并对改进现有控制 措施和整体信息安全管理体系的需求进行识别。



为了策划和组 织多种和大量的测量,


并为在一个指定的时间段和


/

< p>
或时期内有效和高效地执


行测量提供资源,一个测量项目包括了所有必要的 活动。组织可以建立一个以上的测量项目。


10



管理层应该为测量项目建立角色和职责。



一个测量项目应包括以下过程:



a)



测度和测量的开发(见第


7


节);



b)



测量的运行(见第


8


节);



c)



测度的分析和报告(见第


9


节);以及



d)



测量项目改进(见第

< p>
10


节)。




2


展示了测量项目管理的过程流。





2


测量项目管理过程流示意图



通过测量 的使用——信息安全测量项目的一个关键元素,可以对现有控制措施和过程进行


评价来确 定这些控制措施和过程是否充分和有效,或是这些控制措施和过程是否需要被改进或


变更 ,从而改进整个信息安全管理体系。



为了成功达成信息安全管 理体系的持续改进,信息安全测量项目应当考虑,例如,以下要


素的适当组合:



a)



管理层的承诺并有适当资源支持;



b)



信息安全管理体系各过程和规程的存在;



c)



能够捕获和报告有意义数据的过程;



d)



基于信息安全管理体系目标的定量安全测度;



11



e)



易于获取和测量的定量安全测度;



f)



一个可重复的过程,以提供一段时间的相关趋势;



g)



一个有用的追踪过程,以支持有效地调配资源;



h)



以一种有意义的方式,一致、定 期地收集、分析和报告测量数据;



i)



利益相关方使用信息安全管理体 系测量结果,来改进现有信息安全管理体系过程和控


制措施的有效性;

< br>


j)



一个反馈环,以支持整体改进;



k)



对所产生结果有用性的评价;以及



l)



风险管理过程的输入机制,来辅 助对控制措施选择、实施以及资源分配的优先顺序。



一旦成功实施,信息安全测量项目能:



a)



展示组织与适用法律、法规、规章的符合性;



b)



支持对以前未检测到的未知信息安全因素的识别;



c)



当描述历史和当前活动的测量时 ,有助于满足向管理层的报告需求;以及



d)



被用作信息安全管理体系内审和管理评审的输入。




5.3


信息安全测量模型



信息安全测量模型 将单个的简单测度纳入更复杂的组合测度,从而提供全面的和一致的测


量结果,


可以不断重复地用于基准测试和比较。



3


中描述了一个信息安全测量模型。


通过应用


该模型所开发的测量范例见附录


B






3


信息安全测量模型



12



以下各子节将使用这样一个范例来描述模型中的各元素:策略 要求所有员工在被授权访问


信息系统前,应被适当告知信息处理的规则。两个控制措施被 定义来实施该策略:



a)



所有员工在被授权访问信息系统前,必须签署用户协议;以及



b)



所有员工在被授权访问信息系统 前,必须接受信息安全意识培训。




5.3.1


基本测度和测量方法


< /p>


一个测量对象可能会有多个属性,只有这些属性中的一些为基本测度提供输入是有用的。< /p>


对测量对象的各种属性应用测量方法,得到基本测度。一个给定的属性可被用在多个不同的 测


量上。



一个测量方法是用于以指定的标度量化属性的逻辑操作序列。



测量方法可以通过各类资源使用测量对象的数据,例如:



a)


风险评估和风险分析结果;



b)


调查表和个人面谈;



c)


内部或外部审计报告;



d)


事件记录,如日志、报表统计、审计轨迹等;



e)


事故报告,尤其是那些造成影响发生的事故;



f)


测试结果,如渗透性测试、社交工程、符 合性工具和安全审计工具;以及



g)


信息安全意识培训结果。




1


包含一个范例,说明测量对象、属性、测 量方法和基本测度之间的关系。



测量对象








识< /p>


过程



属性


< /p>


员工数据库中


的员工记录中


的个人字段< /p>



测量方法



1)



数据库查询,获取已接受意识< /p>


培训的员工数。



2)



数据库查询,获取已签署用户< /p>


协议的员工数。



3)



数据库查询,获取已接受意识< /p>


培训并已签署用户协议的员工


数。



基本测度



1)



接受安全意识培


训的员工数。



2)



签署用户协议的


员工数。



3)



接受安全意识培


训并签署用户协


议的员工数。



4)



数据库查询,


获取全体员工数。



4)



员工总数。




5.3.2


导出测度和测量函数


< /p>


导出测度通过对一个或多个基本测度应用测量函数来定义。一个给定的基本测度可能被用< /p>


13



作多个导出测度的输入。



一个测量函 数是为组合两个或两个以上基本测度而执行的算法或计算,定义了这些基本测


度如何被聚 合到一个导出测度。



导出测度的标度和单位依赖于其各组成基 本测度的标度和单位,以及组合函数。



测量函数可能会包括多 种不同的技术,


如对所有基本测度取平均值,


对基本测度应用权 重,


或将它们赋予定性值。测量函数可能会使用不同标度来组合各基本测度,如百分比和 定性评估


结果。



< br>2


包含一个范例,说明基本测度、测量函数和导出测度之间的关系。



基本测度



1)



接受安全意识

< br>培训,


并签署用


户协议的员工


数 。



2)



签署用户协议


的员工数。



3)



员工总数。




5.3.3


指标和分析模型



通过对导出测度应用分析模型,


获得指标。


分 析模型是将一个或多个基本测度和


/


或导出测

< br>度与相关决策准则组合在一起的算法或计算(见表


3


)< /p>




指标是对由规定信息需要的相关模型 导出的指定属性提供估算或评价的测度。标度和测量


方法会影响产生指标的分析技术的选 择。




3


包 含一个范例,说明导出测度、分析模型和指标之间的关系。



导出测度



1)



接受


安 全意识


培训,


并签署用


户协

< p>
议的员工


百分比。



2)



签署


用 户协议


分析模型



X

< br>=已定义的组织可接受的策略符合性阈


值。



指标值假设为“粗体”。



如果


X


%的用户签署了用户协议,指标值变


为“斜 体”。



指标



组织安全意识策略的符合


性,


在图形上用粗体、


斜体


和标准体重新表示。



测量函数



1)



将接受安全意识培训,


并签署用户协议


的员工数除以员工总数,乘以


1 00%




2)



将签署用户协议的员工数除以员 工总


数,乘以


100%




导出测度



1)



接受安全意识和培训,


并签署用户协议的员


工百分比。



2)



签署用户协议的员工


百分比。



的员工百分比。



如果


X


%的用户接受了安全意识培训并签署


了用户协议,指 标值变为“标准体”。



14



注:如果使用颜色编码,必须增强对颜色的描述,使用不同的阴影或不同的字体。目的为


了保障视障用户的使用,或者黑白打印的场合。以下章节同样应用。




5.3.4


测量结果和决策准则



基于已定义的决 策准则,对适用的指标进行解释,可以得到测量结果的评价。测量结果应


当考虑评估信息 安全管理体系过程、控制目标、控制措施有效性的整体测量目标。


决策准则是用于确定是否需要行动或进一步调查的,


或者用于描述给定结果置信度的 阈值、


目标或模式。



目标是可应用于 组织整体或部分的详细的性能规格,来自于信息安全目标并需要被设置及


达到,如信息安 全管理体系目标和控制目标。




4< /p>


包含一个范例,说明指标、决策准则和测量结果之间的关系。



指标



组织安全意识策略


的符合性,


在图形上


用粗体、


斜体和标准


体重新表示。



决策准则



标准体——符合策略。



斜体和粗体——不符合策略。



测量结果



符合策略――不需要变更。



不符合策 略――应该考虑


向上趋势显示符合性得到改进,


向下趋势显


修订(策略)。



示符合性的恶化。


倾斜角度可能提供了控制


措施实施有效性的见解。

任何方向的陡峭斜


线显示对控制措施的实施需要做仔细的检


查,


来判断这种情况的原因。


消极趋势可能

需要管理层的干预。积极趋势应该进行检


查,来识别潜在的最佳实践。




6.


管理职责



6.1


概述



在信息安全管理体系范围内,管 理层负责建立信息安全测量项目,引入不同的利益相关方


(见


7 .4.3


),并使用测量结果来作为监控和改进信息安全的输入。



为此,管理层应:



a)



为信息安全项目建立一个策略;



b)



建立信息安全项目的角色和职责;



c)



确保信息安全项目目标的达成( 见


5.1


);



d)



提供充足的资源来执行信息安全测量项目;



15


-


-


-


-


-


-


-


-