《ISO_IEC_27004_2009信息安全测量中文版.docx》由会员分享,可在线阅读,更多相关《ISO_IEC_27004_2009信息安全测量中文版.docx(31页珍藏版)》请在三一办公上搜索。
1、信息技术一平安技术一信息平安管理一测量 27004 N6614 (FCD)标准草案目录0介绍40.1概述40.2管理层概述41围52规性引用53术语和定义54本标准的结构95信息平安测量概述95.1信息平安目标95.2信息平安测量项目105.3信息平安测量模型12 根本测度和测量方法13 导出测度和测量函数14 指标和分析模型14测量结果和决策准那么156, 管理职责166.1概述166.2资源管理166.3测量培训,意识和能力167. 测度和测量开发177.1概述177.2测量围识别177.3信息需要识别177.4对象识别187.5测量开发和选择18 测量方法19测量函数19 利益相关方19
2、属性选择和评审20分析模型20指标和报告格式20决策准那么207.6测度证实217.7数据收集、分析和报告217.8记录228, 测量运行228.1概述228.2规程整合238.3数据收集和处理239, 测量分析和报告239.1概述239.2分析数据和产生测量结果249.3沟通结果2510, 测量项目评价和改良2510.1概述2510.2识别测量项目的评价准那么2610.3监控、评审与评价测量项目2610.4实施改良27附录A资料性附录信息平安测量模板28附录B资料性附录测度例30参考文献320介绍0.1概述本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息平安管理体系 ISMS的
3、有效性,包括ISO/IEC 27001中用来实施和管理信息平安的ISMS策略、控制目标和平 安控制措施。通过使用信息平安测度,组织能识别现有信息平安管理体系的充分性,包括策略、风险管 理、控制目标、控制措施、过程和规程,并支持组织进展过程的修订,决定哪些ISMS过程或控 制措施应该变更和改良。对该方法的实施组成了一个信息平安测量项目。信息平安测量项目将帮助管理层识别和评 价不符合和无效的控制措施,以及排列与这些控制措施改良或变更相关行动的优先次序。测量 项目也能帮助组织展示与ISO/IEC 27001标准的符合程度,并能产生管理评审过程的输入。对信息平安测量项目的实施,应该优先保证向利益相关方
4、提供了关于各种最严重或是最 高优先级别风险及其处置/控制措施状态的可靠信息。本国际标准假定开发测量的起点是对组 织和利益相关方所面临信息平安风险的充分理解,并且风险评估过程已经按照ISO/IEC 27001 要求得到了正确地实施。一个有效的信息平安测量项目应改良利益相关方对可提供状态信息的各种测量的信心,并 使利益相关方能使用这些测量有效持续改良信息平安和信息平安管理体系。本国际标准的使用能够支持对一段时间信息平安目标达成情况的比拟,以作为组织信息平 安管理体系持续改良过程的一局部。本指南包括:a)开发测度;b)实施和运行一个信息平安测量项目;c)向利益相关方收集、分析和沟通测度;d)使用所收
5、集的测度来帮助信息平安管理体系的相关决策;e)使用所收集的测度来有效改良信息平安管理体系的控制目标和控制措施;f)促进信息平安测量项目的持续改良。本国际标准提供了模板,可能对测量的管理有所帮助。0.2管理层概述ISO/IEC 27001要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性,并指 明这些测度是怎样被用来评估控制措施有效性,以产生可比拟和可再现的结果。公认地,根据多种因素,包括风险暴露、规模、资源可用性、能力、行为和部门需求的不 同,被组织采用来测量控制措施有效性的方法也有所不同。仔细地选择和证明所使用的方法是 很重要的,这可以保证过多的资源不被投入到信息平安管理体系中某个方
6、面,从而损害到其它 必要的领域。明智地,应该将控制措施有效性测量纳入到组织的日常运作中,包括最小的附加 资源需求,以满足对测量的持续需求。对所有组织来说,根本规程的要求已概括在0.1指南列表中。然而,某个因素如系统 规模可能影响组织测量控制措施有效性。一般而言,业务的规模和复杂度,及其与信息平安 重要性的组合,将影响所需测量的扩展程度,无论是测度数量还是测量频度。中小企业可以实 施根本理解意义上的信息平安测量项目,而大企业那么可能多个信息平安测量项目。在初始实施和适当改良措施被实施后,整个测量过程应该被评审。本国际标准的使用将提供适当的文档和支持,这将有助于展示控制措施有效性正在被测量 和评估
7、。1围本国际标准为开发和使用测量提供了指南,以评估ISO/IEC 27001中所描述的信息平安管理 体系ISMS过程、控制目标以及控制措施的有效性。本国际标准适用于任何类型和规模的组织。2规性引用以下的引用文档对本文的应用是不可缺少的。对那些标有日期的引用,只有该引用的版本 才适用。对于没有标日期的引用,应使用最新版本包括任何修正文档。ISO/IEC 27001,信息技术平安技术信息平安管理体系一一要求3术语和定义以下术语和定义适用于本标准:3.1测量分析模型 analytical modelfor measurement分析模型 analytical model将一个或多个根本测度和/或导出
8、测度与相关决策准那么组合在一起的算法或计算。3.2属性 attribute可由人或自动化工具定量或定性区分的实体特征或特性。ISO/IEC 15939:20073.3根本测度base measure用某个属性及其量化方法定义的测度。ISO/IEC 15939:2007注1: 一个根本测度在功能上独立于其它测度。3.4控制措施control管理风险的方法,包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。ISO/IEC 27002:2005注:控制措施也用于防护措施或对策的同义词。3.5数据data赋予根本测度、导出测度和或指标的值的集合。ISO/IEC 15939
9、:20073.6决策准那么 decision criteria用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标或模式。ISO/IEC 15939:20073.7导出测度 derived measure定义为两个或两个以上根本测度的函数的测度。ISO/IEC 15939:20073.8指标 indicator对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。ISO/IEC 15939:20073.9信息需要 information need为管理目标、目的、风险和问题所必需的见解。ISO/IEC 15939:20073.10信息平安管理体系 informat
10、ion security management system (ISMS)整体管理体系的一局部,基于业务风险方法,建立、实施、运行、监控、核查、维持和改良信 息平安ISO/IEC 27001: 2005。注:管理系统包括组织结构,策略,计划活动,责任,实践,规程,过程和资源。3.11ISMS有效性 ISMS effectiveness信息平安活动满足组织目标的程度。注:在本标准中,效率仅关注于控制措施的有效性。3.12测度 Measure一个变量,该变量被赋值,作为执行一次测量的结果。ISO/IEC 15939:2007注:术语”measures”用来指根本测度、导出测度,以及指标。3.13测
11、量 measurement一个过程,包括信息平安管理体系和用以实现控制目标的控制措施的有效性,以及信息平安管 理体系各过程性能相关信息的获取,以及测量方法、测量函数、测量模型及测量准那么的使用。3.14测量函数 measurement function为组合两个或两个以上根本测度而执行的算法或计算。ISO/IEC15939:20073.15测量方法 measurement method一般地描述为,用于以指定的标度量化属性的逻辑操作序列。ISO/IEC 15939:2007 注:测量方法类型取决于用来量化属性的操作的性质。可分为两种类型:主观类涉及人为判断的量化;客观类一一基于数字规那么的量化
12、。3.16测量结果 measurementresults针对信息平安需求的一个或多个指标及其相关的解释。3.17对象object一个对象通过对其属性的测量得以识别3.18标度scale一组有序的连续或离散值,或与属性映射的类目。ISO/IEC 15939:2007注:标度类型取决于标度值间关系的性质,通常定义四种类型的标度:标称标度测量值是类目;顺序标度测量值是队列;间隔标度一一测量值的等距与属性的等量对应;比率标度一一测量值的等距与属性的等量对应,其中零值对应于无属性。3.19测量单位 unit of measurement按约定定义和采用的具体量,其他同类量与这个量进展比拟,用以表示它们相
13、对于这个量的大小。ISO/IEC 15939:20073.20确认 validation通过提供客观证据,证实对某个有意使用或应用的需求已经得到满足。3.21验证 verification通过提供客观证据,证实特定的要求已经得到满足。注:也称为符合性测试4本标准的结构除了为开发和使用测量提供了指南,以评估ISO/IEC 27001中所描述的信息平安管理体系ISMS过程、控制目标以及控制措施的有效性外,本国际标准还提供了对测量过程及其活动 的描述。对信息平安测量项目及其模型的概述和背景信息见第5节。管理职责见第6节。第7节到第10 节描述了测量项目中的各过程详见5.2。如何开发和记录测量的附加信
14、息见附录。附录A提供了测量模板的例,附录B提供了使用附 录A中模板的测量例。5信息平安测量概述5.1信息平安目标在信息平安管理体系背景下,测量项目的目标可以包括:a)评价所实施信息平安控制目标和控制措施的有效性;b)评价信息平安管理体系有效性,包括持续改良循环;c)基于组织整体业务风险,促进信息平安的性能改良;d)提供客观数据和分析,来帮助管理评审、辅助决策,以及向管理层证明控制措施的改良;e)为平安审核提供输入;f)向相关的利益相关方沟通信息平安的有效性;g)作为风险管理过程的输入;h)为对有效性的部比拟和部打分提供信息;以及i)支持对所识别平安需求满足到何种程度的验证。一个特定组织的测量项
15、目应当基于大量的考虑,包括:a)在支持组织整体业务活动和所面临的风险方面,信息平安所扮演的角色;b)基于客观测量的持续改良;c)适用的法律、规章,以及合同要求;d)组织的架构;e)实施信息平安测量的本钱和收益;以及f)组织对风险的承受态度。图1解释了与ISO/IEC 27001中描述的PDCA循环相比,测量活动的输入一输入循环关系。图1PDCA循环中的测量输入与输出为了到达信息平安测量所建立的目标,并在所有测量活动中实施PDCA循环,组织应该建立 并管理一个信息平安测项目见5.2。为获得基于信息平安测量模型见5.3的可重复的、 客观的和有用的结果,组织还应建立一个测量活动框架。5.2信息平安测
16、量项目一个信息平安测量项目通过使用测度,识别和评价信息平安管理体系的充分性和有效性, 并对改良现有控制措施和整体信息平安管理体系的需求进展识别。为了策划和组织多种和大量的测量,并为在一个指定的时间段和/或时期有效和高效地执行 测量提供资源,一个测量项目包括了所有必要的活动。组织可以建立一个以上的测量项目。管 理层应该为测量项目建立角色和职责。一个测量项目应包括以下过程:a)测度和测量的开发见第7节;b)测量的运行见第8节;c)测度的分析和报告见第9节;以及d)测量项目改良见第10节。图2展示了测量项目管理的过程流。图2测量项目管理过程流示意图通过测量的使用一一信息平安测量项目的一个关键元素,可
17、以对现有控制措施和过程进展 评价来确定这些控制措施和过程是否充分和有效,或是这些控制措施和过程是否需要被改良或 变更,从而改良整个信息平安管理体系。为了成功达成信息平安管理体系的持续改良,信息平安测量项目应当考虑,例如,以下要 素的适当组合:a)管理层的承诺并有适当资源支持;b)信息平安管理体系各过程和规程的存在;c)能够捕获和报告有意义数据的过程;d)基于信息平安管理体系目标的定量平安测度;e)易于获取和测量的定量平安测度;f)一个可重复的过程,以提供一段时间的相关趋势;g)一个有用的追踪过程,以支持有效地调配资源;h)以一种有意义的方式,一致、定期地收集、分析和报告测量数据;i)利益相关方
18、使用信息平安管理体系测量结果,来改良现有信息平安管理体系过程和控 制措施的有效性;j)一个反应环,以支持整体改良;k)对所产生结果有用性的评价;以及l)风险管理过程的输入机制,来辅助对控制措施选择、实施以及资源分配的优先顺序。一旦成功实施,信息平安测量项目能:a)展示组织与适用法律、法规、规章的符合性;b)支持对以前未检测到的未知信息平安因素的识别;c)当描述历史和当前活动的测量时,有助于满足向管理层的报告需求;以及d)被用作信息平安管理体系审和管理评审的输入。5.3信息平安测量模型信息平安测量模型将单个的简单测度纳入更复杂的组合测度,从而提供全面的和一致的测 量结果,可以不断重复地用于基准测
19、试和比拟。图3中描述了一个信息平安测量模型。通过应用 该模型所开发的测量例见附录B。图3信息平安测量模型以下各子节将使用这样一个例来描述模型中的各元素:策略要求所有员工在被授权访问信 息系统前,应被适当告知信息处理的规那么。两个控制措施被定义来实施该策略:a)所有员工在被授权访问信息系统前,必须签署用户协议;以及b)所有员工在被授权访问信息系统前,必须承受信息平安意识培训。一个测量对象可能会有多个属性,只有这些属性中的一些为根本测度提供输入是有用的。对测量对象的各种属性应用测量方法,得到根本测度。一个给定的属性可被用在多个不同的测 量上。一个测量方法是用于以指定的标度量化属性的逻辑操作序列。测
20、量方法可以通过各类资源使用测量对象的数据,例如:a)风险评估和风险分析结果;b)调查表和个人面谈;c)部或外部审计报告;d)事件记录,如日志、报表统计、审计轨迹等;e)事故报告,尤其是那些造成影响发生的事故;f)测试结果,如渗透性测试、社交工程、符合性工具和平安审计工具;以及g)信息平安意识培训结果。表1包含一个例,说明测量对象、属性、测量方法和根本测度之间的关系。测量对象属性测量方法根本测度员工平安意识过程员工数据库中的员工记录中的个人字段1)数据库查询,获取已承受意识 培训的员工数。2)数据库查询,获取已签署用户 协议的员工数。3)数据库查询,获取已承受意识 培训并已签署用户协议的员工 数
21、。4)数据库查询,获取全体员工数。1)承受平安意识培 训的员工数。2)签署用户协议的 员工数。3)承受平安意识培 训并签署用户协 议的员工数。4)员工总数。导出测度通过对一个或多个根本测度应用测量函数来定义。一个给定的根本测度可能被用 作多个导出测度的输入。一个测量函数是为组合两个或两个以上根本测度而执行的算法或计算,定义了这些根本测 度如何被聚合到一个导出测度。导出测度的标度和单位依赖于其各组成根本测度的标度和单位,以及组合函数。测量函数可能会包括多种不同的技术,如对所有根本测度取平均值,对根本测度应用权重, 或将它们赋予定性值。测量函数可能会使用不同标度来组合各根本测度,如百分比和定性评估
22、结果。表2包含一个例,说明根本测度、测量函数和导出测度之间的关系。根本测度测量函数导出测度1)承受平安意识培训,并签署用 户协议的员工 数。2)签署用户协议的员工数。3)员工总数。1)将承受平安意识培训,并签署用户协议 的员工数除以员工总数,乘以100%。2)将签署用户协议的员工数除以员工总 数,乘以100%。1)承受平安意识和培训,并签署用户协议的员工百分比。2)签署用户协议的员工百分比。通过对导出测度应用分析模型,获得指标。分析模型是将一个或多个根本测度和/或导出测度与相关决策准那么组合在一起的算法或计算见表3。指标是对由规定信息需要的相关模型导出的指定属性提供估算或评价的测度。标度和测量
23、方法会影响产生指标的分析技术的选择。表3包含一个例,说明导出测度、分析模型和指标之间的关系。导出测度分析模型指标1)承受平安意识 培训,并签署用 户协议的员工 百分比。2)签署用户协议 的员工百分比。X=已定义的组织可承受的策略符合性阈值。指标值假设为“粗体。如果X%的用户签署了用户协议,指标值变 为“斜体。如果X%的用户承受了平安意识培训并签署 了用户协议,指标值变为“标准体。组织平安意识策略的符合 性,在图形上用粗体、斜体 和标准体重新表示。注:如果使用颜色编码,必须增强对颜色的描述,使用不同的阴影或不同的字体。目的为 了保障视障用户的使用,或者黑白打印的场合。以下章节同样应用。基于已定义
24、的决策准那么,对适用的指标进展解释,可以得到测量结果的评价。测量结果 应当考虑评估信息平安管理体系过程、控制目标、控制措施有效性的整体测量目标。决策准那么是用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈 值、目标或模式。目标是可应用于组织整体或局部的详细的性能规格,来自于信息平安目标并需要被设置及到达,如信息平安管理体系目标和控制目标。表4包含一个例,说明指标、决策准那么和测量结果之间的关系。指标决策准那么测量结果组织平安意识策略 的符合性,在图形上 用粗体、斜体和标准 体重新表示。标准体一一符合策略。斜体和粗体一一不符合策略。向上趋势显示符合性得到改良,向下趋势显 示符合
25、性的恶化。倾斜角度可能提供了控制 措施实施有效性的见解。任何方向的陡峭斜 线显示对控制措施的实施需要做仔细的检 查,来判断这种情况的原因。消极趋势可能符合策略一一不需要变更。不符合策略 应该考虑 修订策略。需要管理层的干预。积极趋势应该进展检 查,来识别潜在的最正确实践。6. 管理职责6.1概述为此,管理层应:a)为信息平安项目建立一个策略;b)建立信息平安项目的角色和职责;c)确保信息平安项目目标的达成见5.1;d)提供充足的资源来执行信息平安测量项目;e)确保适当的根底设施到位;f)确保使用适当的工具执行测量过程;g)建立测量结果的目标;h)管理层应通过适当分配测量相关的角色和责任,保证测
26、量结果不受到被测量对象所有者的 影响。这可能是通过职责分割,或如果这不可能,通过使用允许独立检查的详细记录来实现。6.2资源管理管理层应该分配和提供资源来支持信息平安测量的必要功能,例如数据收集、分析、存储、 报告和分发。资源分配应包括以下方面的分配:a)负责信息平安测量项目所有方面的人员;b)适当的财务支持;以及c)适当的根底设施支持,例如用于测量过程的物理根底设施和工具。6.3测量培训,意识和能力管理层应保证:a)参与测量设计和使用的所有职员在模型和项目上被充分培训,并且有适当的能力来履行他们的角色;以及b)使用测量的所有职员理解他们职责中有一局部是要为过程改良提供建议,这可能包括 建议不
27、同的测量。7. 测度和测量开发7.1概述本节描述了为了量化信息平安管理体系、控制目标和控制措施的有效性,并识别针对特定 利益相关方的一套测量,怎样来开发测量。这些测量将通过提供评估信息平安管理体系有效性 的多种手段,以及支持组织信息平安的持续改良,进一步加强信息平安管理体系的性能。7.2测量围识别测量开发的过程应该被建立和记录,包括选择用于测量的具体控制措施和控制目标,识别 这些对象的各种测量属性,明确测量,并且建立数据收集、分析、报告的各种过程与工具。计 划过程应包括识别财力、人力,以及根底设施物理的和工具的资源。管理层有责任来提供 这些资源,以保证信息平安测量的成功实施。取决于组织的能力和
28、资源,组织信息平安测量活动的最初围可能会被限制在管理层给予最 高优先级的活动、产品和效劳上。随着时间的推移,测量活动的最初围可以扩大来包括信息平 安管理体系的更多元素。测量的利益相关方应该被识别并参与定义测量围。测量的利益相关方可能是组织单位部或 外部的,例如项目经理、信息系统经理或信息平安决策者。关于每个控制措施有效性的具体信 息被收集、聚合、分析,并向利益相关方进展展示。组织应考虑在一段给定时间段,对供一个决策者使用的测量数量进展限制,以保证基于所 收集信息进展有效改变的能力。过多的测量可能会削弱有效集中力量和未来活动优先排序的能 力。将被使用测量的优先顺序应基于特定组织的准那么,并包括基
29、于风险的考虑。7.3信息需要识别每个测量应对应于一个信息需要。信息需要是对于哪些需要被测量的表述,关于ISMS过程、 控制目标、控制措施,以及这些过程、控制目标、控制措施的实施。应该通过执行以下活动来识别信息需要:a)检查信息平安管理体系及其过程,例如:1)组织的信息平安管理体系策略、目标、风险和平安要求;2)法律、法规和合同的要求;3)ISO/IEC 27001标准中所描述的风险评估和处置过程的结果;4)信息平安管理体系的有效性要求;b)基于准那么对所识别的信息需要,排列优先次序,例如:1)风险处置优先次序;2)组织的能力和资源;3)利害相关方的利益;4)信息平安策略;5)为满足法律、法规和
30、合同要求所需要的信息;6)与测量本钱相关的信息的价值;c)根据已建立的准那么,选择经过优先排序的信息需要;以及d)向所有相关的利害相关方,记录和沟通已选择的信息需要。所有适用于信息平安管理体系过程、控制目标和控制措施或成组的控制措施的测度,应该 基于已选择的信息需要来实施。7.4对象识别信息平安测量能在整个背景和信息平安管理体系围,被用在不同的业务对象上。识别用于 测量的对象包括:a)考虑已建立的测量目标;以及b)明确这些对象的关键属性,这些属性可能会提供关于控制措施和控制目标有效性及其 实施的相关信息。描述测量对象和相应属性的数据将被用来作为单个根本测度的输入。测量对象包括但不限于:a)产品
31、和效劳;b)过程;c)适用的资产,如ISO/IEC 27001中所识别的各种设施、应用程序,以及信息系统;d)业务单元;e)地理位置。测量对象应该要仔细地选择,以确保测量的结果是有意义的。所选择的对象应该和选择的 理由一起被记录。7.5测量开发和选择组织应该使用已有的各种资源,来识别和剪裁信息平安测度。每个测量应该被详细地开发,适合每个组织的需求,并应至少包括:a)测度识别;b)测量对象和属性;c)根本测度;d)导出测度;e)指标;f)数据收集规程;以及g)数据分析规程。信息平安测量的详细模板例在附录A中提供ISO/IEC 27001控制措施子集的测量例参见 附录B。对每个根本测度应识别其测量
32、方法。通过将属性转换为根本测度,测量方法被用来量化测 量对象。测量方法可能是主观的或客观的。主观方法含有对人的判断的量化,而客观方法是基于数 字规那么的量化,如可能通过手工或自动化手段实施的计算。通过应用适当的标度,测量方法将属性量化成数值。每个标度使用一个测量单位。只有以 同种测量单位表达的量才能直接进展比拟。不管是手工例如,问询、观察、自评估还是自动化测量方法都需要独立的验证,以建 立每个属性值的置信度。对每个测量方法,验证准那么应被定义和记录。应考虑测量方法的精度,相关的错误应记录。测量方法应在一段时间保持一致,这样在不同时间采取的根本测度是可比拟的,并且基于 这些根本测度的导出测度和指
33、标也同样是可比拟的。对每个导出测度,应该定义一个使用两个或两个以上根本测度的测量函数。在某些情况下, 根本测度能与导出测度一起作为分析模型的输入。测量函数如,公式可能会包括多种不同的技术,如对所有根本测度取平均值,对根本 测度应用权重,或是在将根本测度聚合成导出测度前,将它们赋予定性值。测量函数可能会使 用不同标度来组合各根本测度,如百分比和定性评估结果。应该定义一个计算每个测度的公式并记录。应考虑由于根本测度的组合而导致的累积性错 误。对于每个测量,适当的利益相关方都应被识别和记录。利益相关方可能包括:a)所有者一一人员或组织单位,它们拥有被用来创立根本测度的测量对象和属性的相关 信息,并负
34、责测量;b)顾客一一人员或组织单位,为了开展他们的业务功能而申请和需要测量;c)收集者人员或组织单位,负责收集、记录和存储数据;d)沟通者一一人员或组织单位,负责分析数据和报告结果;以及e)评审者一一人员或组织单位,负责对测量评价准那么是否适当作评审,以验证控制措 施和信息平安管理体系过程的有效性。一个测量对象可能有多个信息平安属性。一个根本测度可能会选择使用一个或多个属性。应该对属性进展证实,以确保:a)适宜的属性被选择用来测量;以及b)适当数量的属性已经被选择,以保证提供一个充分的集合来支持一个有效的测量。所选择属性的特征决定着何种测量方法将被使用来确定根本测度例如,定量或定性的。应仅有那
35、些与相应根本测度有关的属性被选择。尽管属性选择应考虑获取测量属性的困难 程度,它不应该只从那些易于获取的数据,或是易于测量的属性中选择。对每个测度来说,应该定义一个分析模型,目的是将一个或多个导出测度转换为一个指标。分析模型以某种方式组合各测度并产生输出,这个输出与信息平安管理体系策略有关,并 对信息平安管理体系利益相关方有意义。注意,当定义分析模型时,应用在指标上的决策准那么也应该被考虑。有时分析模型可以简单到只是将单个导出测度转换为一个指标。通过聚合各导出测度并基于决策准那么对它们进展解释,将产生指标。对将向顾客报告的 每个指标,应该定义并记录一个报告格式。报告格式将可视地描述测度并提供一
36、个指标的言语解释。报告格式应该被定制,以满足顾 客的信息需要。每个指标对应的决策准那么,应该基于信息平安目标来定义和记录,从而为客户提供可行 动的指南。该指南应给出对测量进展的期望以及基于指标的启动改良措施的阈值。决策准那么 建立了一个目的,由此成功可以被测量,决策准那么也为解释指标与目的的接近程度提供了指 导。建立决策准那么和目的的机制与从测度得到的指标是有区别的。需要对与信息平安管理体系过程和控制措施性能相关的各项目设立目的,以及目标的达成 情况,并最终对评价信息平安管理体系和控制措施的有效性。组织可能会决定等到初始数据收集到后,再为指标设置目的。一旦基于初始数据的纠正措 施被识别,就能定
37、义适当的决策准那么和实施里程碑,它们对特定的信息平安管理体系是现实 的。如果不能建立决策准那么,管理层应评价被测量的对象和相应的测度是否为组织提供了所 期望的价值。如果与这些测度开发或选择相关的历史数据存在,将有助于决策准那么的建立。过去所观 察到的趋势将提供对以前存在的性能围的见解,并为创立现实的决策准那么提供指导。决策准 那么可以被计算或基于一个对期望行为的概念性理解。决策准那么可以从历史数据、计划和启 发式方法导出,或者从统计控制界限或统计置信界限计算得到。7.6测度证实管理层应对所开发的测度进展证实,以保证所开发测度是有用并有本钱效益的。下面这些 准那么可能与决定测度是否有用并有本钱效
38、益相关:a)战略的:与组织的业务目标和利益相关方的需求一致;b)定量的:提供客观和经历数据;c)解释性的:能容纳主观输入来帮助对数据的解释;d)具有本钱效益:数据收集的本钱应与被测量价值相关的潜在损失相平衡;e)可验证:第三方评审者应能评估数据,并能重现结果;f)有意义:数据应提供与一段时间所应用控制措施和控制目标相关的有意义信息,使得 能够对变更影响或结果一致性进展评估;g)实用:结果应支持使命、财务和运行的决策;h)不可分:数据应该在可能的最细、不可分解的级别下被收集;i)良好定义:在7.5中所描述的详细模板中记录;以及j)可重复:测量应产生可比拟和可再生的结果。7.7数据收集、分析和报告
39、应该建立或剪裁测量数据收集、分析和报告的过程,如果存在这样的过程。如果需要,还 应该建立提供支持的工具和技术。这些过程、工具和技术可以满足以下测量相关的活动:a)数据收集,包括存储和验证。规程应详细说明数据是如何被收集和区分的,以及这些 数据将怎样和在哪里被存储。数据验证可能会通过审计来完成。自动化工具能被用来 支持这些规程;b)数据分析,以及测量的报告。规程应详细说明数据收集方法、频率、格式,以及报告 信息产品的方法。应该识别哪些工具可以被用来执行数据分析。报告格式的例包括:a)通过整合高级别指标提供战略信息的记分卡;b)执行和运行的仪表板,不是集中在战略目标,而更关注特定控制措施和过程的有
40、效性。 仪表板可能会使用一系列的颜色来沟通结果一一c)报告,从简单和统计性的,比方一个给定时间段的测度列表,到更为复杂的穿插表, 这种穿插表包括嵌组、滚动总结、动态透视或。报告最好被用在用户需要以一种易读 的格式看原始数据时;以及d)量表来表示动态的数据值包括警报、附加的图形元素,以及端点的标记。7.8记录测量的完整方法应被记录在一个实施计划中。实施计划应至少包括以下信息:a)测量的意图;b)将被测量的控制措施和控制目标;c)测量对象;d)将被收集和使用的测度;e)数据收集过程;f)数据分析和报告过程,包括报告格式;g)利益相关方的角色和责任;以及h)测度评审的周期,以确保测量与信息平安管理体
41、系和业务目标保持同步。8. 测量运行8.1概述信息平安测量的运行包括收集、存储和验证被用来创立信息平安测度的数据。它也包括一 些必要的活动,这些活动保证所收集的测量被用来获得对信息平安管理体系有效性的理解,以 及识别适当的改良措施。本阶段包括以下活动:a)将测量规程整合进整个信息平安管理体系的运行;以及b)收集、存储和验证数据。8.2规程整合信息平安测量项目应被信息平安管理体系充分地整合和使用,包括:a)在信息平安管理体系背景下,定义和记录关于开发、实施和维护信息平安测量的角色 和职责;b)数据生成与收集,包括变更现有过程以容纳数据生成与收集活动;c)向利益相关方沟通数据收集活动的改变,以保证
42、数据收集人的能力,包括他们对所要 求数据类型、数据收集工具、数据收集规程的理解。增强信息收集人的能力将有助于 提高数据收集质量,以及测量对组织的用处;d)数据分析和报告应被整合进相关过程,以保证这些过程的常规性能;e)策略和规程,它们定义了组织测量的使用,测量信息的发布,以及信息平安测量项目 的审计和评审;f)一个监控测量的过程,以评价测量的使用情况;g)一个去除测量和增加新测量的过程,以确保测量随组织不断演进;以及h)一个确定用于趋势分析的历史数据有用期的过程。8.3数据收集和处理数据收集过程包括:a)所需要的数据应根据实施计划中定义的过程,使用指定的测量方法按照常规间隔来收 集;b)记录数
43、据收集,包括:1)数据收集的日期、时间、地点;2)信息收集者;3)信息所有者;4)数据收据过程中发生的任何问题;以及5)数据验证和测量证实的信息;以及c)根据属性证实准那么,验证所收集的数据应对所收集数据进展整理,并以有助于数据分析和报告的格式来存储。所存储的数据应带 有必要的背景信息。9. 测量分析和报告9.1概述测量应该被分析和报告。这个阶段包括以下活动:a)分析数据和产生测量结果;以及b)向利益相关方沟通测量结果。9.2分析数据和产生测量结果收集的数据应该基于决策准那么被分析和解释。数据在分析之前可以被聚合、转换或再次 编码,在数据处理期间将产生计划中的指标。很多种分析技术能被应用。分析
44、的深度应该根据 数据的自身特性和信息需要来确定。执行统计分析的指南参见ISO TR 10017:2003。数据分析的结果应该被解释。分析结果的人沟通者应该能基于结果给出一些初始结论。 但是沟通者可能不会直接涉及技术和管理过程,这些结论需要由其他利益相关方进展评审。所 有的解释都应该考虑测度的背景。数据分析应识别实际性能和期望性能间的差距。这种分析将指出可能需要改良的相关测量 对象、控制目标及控制措施,以改良信息平安性能。对那些显示出不符合或性能差的指标,应 该识别其原因,可能包括以下几类:a)实施失败造成的不符合一一被期望实施的控制措施或信息平安管理体系过程,或者没 有被实施,或者在实施、运行
45、和管理上不充分;b)无效控制措施或信息平安管理体系过程1)控制措施或信息平安管理体系过程已被正常实施、运行和管理,但不能应对所预计的威胁;2)控制措施或信息平安管理体系过程已被实施,但没有被正常运行和管理。c)风险处置失败:控制措施或信息平安管理体系过程已被正常实施、运行和管理,但可 以被威胁绕过;以及d)风险评估失败:1)控制措施或信息平安管理体系过程已被正常实施、运行和管理,但不能应对实际 威胁,因为威胁围太大;2)控制措施或信息平安管理体系过程未被实施,因为风险评估过程中无视了一些威 胁;以及3)控制措施或信息平安管理体系过程已被实施但无效,因为风险评估过程中无视了 一些威胁。数据分析结果、指标、与决策准那么相关的解释,以及相关的支持信息构成了测量结果。总结测量结果的报告,应根据实施计划,使用适当的报告格式见7.7来准备。分析的结论应被利益相关方评审,以保证对数据的适当解释。数据分析的结果应被记录, 以便向各利益相关方进展沟通。9.3沟通结果负责分析数据和报告结果的人员或组织单位沟通者应该决定如何沟通信息平安测量结 果,包括:a)哪些测度在部和外部报告;b)针对各利益相关方和兴趣相关方的测度列表;c)报告结构,被提供的特定测度,以及展示类型都应被剪裁以适合各个组的需求;以及
