当前位置:首页 > 名家 > 专家新论 > 正文
信息安全管理体系的评价研究
发布者:  来源:  发布时间:2013-12-10

1 信息安全管理体系

信息安全管理的模型多为基于过程、流程的框架与体系,如ISO/IEC提出的ISMS、美国国家标准技术研究院NIST提出的4层框架和信息技术治理协会提出的IT控制框架COBIT等。ISMS(见图1)[3]是基于计划-实施-检查-改进(PDCA)的过程性体系,它是一个反馈式的体系结构,鼓励用户了解自身信息安全需求,制定安全策略;在组织的整体业务风险框架下,通过控制措施来管理组织的安全风险;监控和评审ISMS的执行和有效性;采用客观的测量手段来改进此体系。ISMS成为国际上信息安全管理的主流标准,但ISO/IEC的相关标准并没有详细提及如何对该体系进行评价。

 2 信息安全管理体系的评价

信息安全管理评价属于系统评价的范畴,可使用综合评价的方法。李捷娜[4]提出一种基于证据理论的信息安全管理度量方法,将专家评判意见通过证据理论合成;Huang[5]采用平衡计分卡与层次分析法进行信息安全管理的评价;Bellone[6]提出对信息安全管理进行评价的具体执行方案与实施方法。把综合评价方法应用到信息安全管理评价的领域,需要构建针对信息安全管理评价的指标体系,以及选用适当的评价方法来处理数据。

2.1 评价指标体系的构建

ISO/IEC在吸收各个国家、各个组织相关标准的基础上,推出ISO/IEC27000系列标准,为信息安全管理的体系化、标准化、定量化做出积极的贡献,有利于统一信息安全管理标准的格局。对于不涉及国家机密的组织与公司,大可使用该标准来构建ISMS。

2.2 评价方法的选用

系统评价领域已经形成多种评价方法(见表1),这些方法都可以应用到ISMS的评价中。各种评价方法有一定的适用性,需要根据应用场合来灵活选择。
2.3 信息安全管理评价存在的问题

信息安全管理评价的研究还处于初步阶段,目前存在的主要问题有:

1) 评价指标体系的构建缺乏统一性、开放性、标准化。

2) 在信息安全管理综合评价这个具体问题上,评价方法的选用并不成熟,缺少实践的检验。

3 信息安全管理体系测量与评价的集成研究

从研究现状来看,信息安全管理体系的测量与评价是截然分开进行的,两者没有什么联系。实际上,信息安全管理评价需要构建一个评价指标体系,信息安全管理测量则产生很多测量指标的数值,测量与评价两个过程能否进行有机的结合?本节将研究和解决此问题。

3.1 信息安全管理测量

NIST为信息安全管理提供了测量机制,其SP800-53A标准为评估信息安全管理措施的效力提供了详细的测量模板,测量级别分成基本测量与扩展测量,测量手段有面谈(Interview)、检查(Examine)与测试(Test)3种。SP800标准毕竟是一种定性的方法,指标的测量结果难以定量化.

 

分享到:
合作伙伴: