前言：本站為你精心整理了信息安全管理有效性的測(cè)量范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

1測(cè)量目的和測(cè)量指標(biāo)

1．1信息安全管理有效性測(cè)量目的

信息安全管理有效性測(cè)量的根本目的，是評(píng)估企業(yè)信息安全管理的真實(shí)水平。在企業(yè)建立信息系統(tǒng)時(shí)，通常都會(huì)依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)、信息組成、利益關(guān)系、安全標(biāo)準(zhǔn)等方面的要求，來(lái)設(shè)定企業(yè)信息系統(tǒng)的安全管理目標(biāo)，構(gòu)筑相應(yīng)的安全管理體系和措施。對(duì)企業(yè)信息安全管理有效性進(jìn)行測(cè)量，不僅可以對(duì)企業(yè)信息安全管理目標(biāo)實(shí)現(xiàn)程度進(jìn)行科學(xué)準(zhǔn)確的評(píng)估，還能準(zhǔn)確地評(píng)測(cè)企業(yè)信息安全管理系統(tǒng)的效能，作為企業(yè)信息安全管理考核的依據(jù)。實(shí)際上，如果不進(jìn)行有效性測(cè)量，只依賴于信息系統(tǒng)安全測(cè)量標(biāo)準(zhǔn)來(lái)評(píng)估企業(yè)信息系統(tǒng)安全管理水平，將會(huì)造成極大的誤差，甚至產(chǎn)生很多安全漏洞，使企業(yè)實(shí)際信息安全管理水平與所需達(dá)到的水平相差甚遠(yuǎn)，如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無(wú)法得到有效的解決，造成巨大的信息安全隱患。通過(guò)有效性測(cè)量，能更好地找出企業(yè)信息安全管理需要改進(jìn)的地方，充分反應(yīng)企業(yè)信息安全管理存在的問(wèn)題和嚴(yán)重程度，為企業(yè)信息安全管理工作的改進(jìn)提供依據(jù)。

1．2信息安全管理有效性測(cè)量指標(biāo)

信息安全管理不僅是國(guó)內(nèi)企業(yè)的需要，也是國(guó)外企業(yè)的需要，相對(duì)來(lái)說(shuō)，國(guó)外在信息安全管理方面的水平更高。目前，在國(guó)際上普遍采用ISO／IEC27002作為信息安全管理標(biāo)準(zhǔn)，以此來(lái)實(shí)施信息安全管理，這一標(biāo)準(zhǔn)是當(dāng)前最權(quán)威和最科學(xué)的信息安全管理標(biāo)準(zhǔn)，在這一標(biāo)準(zhǔn)中從信息安全方針、組織、管理等方面，提出了100余個(gè)控制措施，信息安全管理中可以根據(jù)企業(yè)的需要選擇相應(yīng)的措施進(jìn)行信息安全管理，該標(biāo)準(zhǔn)所提出的措施，基本覆蓋了企業(yè)信息安全管理的各個(gè)方面。在構(gòu)建信息安全管理有效性測(cè)量指標(biāo)體系時(shí)，也可以按照ISO／IEC27002標(biāo)準(zhǔn)進(jìn)行，將測(cè)量?jī)?nèi)容分解為管理控制、運(yùn)行控制、技術(shù)控制3個(gè)方面，并根據(jù)企業(yè)實(shí)際情況采用具有代表性、可測(cè)量的指標(biāo)建立起測(cè)量指標(biāo)集，對(duì)這些指標(biāo)實(shí)施情況進(jìn)行采集分析，再通過(guò)專家咨詢?cè)u(píng)測(cè)最終得到企業(yè)信息安全管理有效性的具體指標(biāo)，評(píng)估企業(yè)信息安全達(dá)到的水平，找出企業(yè)信息安全管理的不足。

2測(cè)量方法和指標(biāo)計(jì)算

2．1測(cè)量方法

在信息安全管理有效性測(cè)量中，應(yīng)當(dāng)對(duì)指標(biāo)進(jìn)行量化處理，最終形成量化測(cè)量結(jié)果。不同的指標(biāo)，所采用的測(cè)量方法并不相同，通常采用的測(cè)量方法有風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、問(wèn)卷調(diào)查、個(gè)人訪談、內(nèi)部審核、報(bào)表統(tǒng)計(jì)、滲透性測(cè)試、內(nèi)外對(duì)比等方法。對(duì)不同的指標(biāo)采用相應(yīng)的測(cè)量方法進(jìn)行測(cè)量后，得到各指標(biāo)的基本測(cè)度結(jié)果，再運(yùn)用不同的技術(shù)對(duì)所獲得的基本測(cè)度結(jié)果進(jìn)行取值，賦予不同指標(biāo)以不同的安全風(fēng)險(xiǎn)權(quán)重，最終算出企業(yè)信息安全管理有效性水平。例如在信息安全管理控制方面，需要對(duì)信息系統(tǒng)安全性，信息處理、信息傳輸、信息存儲(chǔ)安全性進(jìn)行評(píng)價(jià)，并評(píng)估這些風(fēng)險(xiǎn)可能對(duì)企業(yè)資產(chǎn)造成的威脅以及威脅程度，結(jié)合安全問(wèn)題所涉及的資產(chǎn)價(jià)值來(lái)判斷可能造成的影響，以評(píng)估信息安全管理控制的有效性，這其中，就需要將信息安全管理控制分解為多個(gè)指標(biāo)進(jìn)行測(cè)量，并根據(jù)對(duì)資產(chǎn)價(jià)值的影響能力賦予不同的權(quán)重和取值，才能最終確定出企業(yè)信息安全管理控制方面的有效性水平。再如在信息安全管理運(yùn)行有效性方面，需要對(duì)人員安全、安全意識(shí)、環(huán)境安全、業(yè)務(wù)聯(lián)系、事件管理等進(jìn)行有效性評(píng)估，其中人員安全包括各個(gè)人員的安全評(píng)級(jí)和安全管理情況，安全意識(shí)包括企業(yè)安全教育、人員安全技術(shù)水平等，環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等。

2．2指標(biāo)計(jì)算

在信息安全管理有效性測(cè)量中，各指標(biāo)的在安全管理有效性中的權(quán)重并不相同，因此信息安全管理有效性測(cè)量結(jié)果，不是對(duì)各指標(biāo)的測(cè)量結(jié)果進(jìn)行簡(jiǎn)單相加，而是要對(duì)不同的指標(biāo)賦予不同的權(quán)重，構(gòu)建起評(píng)測(cè)矩陣，并充分考慮各指標(biāo)之間的聯(lián)系賦值，如極端重要、強(qiáng)烈重要、明顯重要、稍微重要等，根據(jù)不同指標(biāo)的權(quán)重進(jìn)行重要性排序后，對(duì)其特征向量進(jìn)行求解，確定各指標(biāo)在企業(yè)信息安全管理中的影響能力。各指標(biāo)的權(quán)重，并沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，也不可能簡(jiǎn)單地借鑒其他企業(yè)的測(cè)量權(quán)重，根據(jù)不同企業(yè)有不同的特點(diǎn)，在進(jìn)行測(cè)量時(shí)，應(yīng)當(dāng)有相當(dāng)數(shù)量的專家參與權(quán)重賦值，在消除偶然因素的影響后建立起符合企業(yè)特點(diǎn)的指標(biāo)權(quán)重體系，得出較為科學(xué)合理的指標(biāo)權(quán)重，這樣才能使最重的測(cè)量結(jié)果更為科學(xué)合理。

3結(jié)束語(yǔ)

信息安全問(wèn)題關(guān)系著企業(yè)的競(jìng)爭(zhēng)發(fā)展，在企業(yè)信息安全管理中，并不是構(gòu)建了先進(jìn)的硬件平臺(tái)和軟件系統(tǒng)就能切實(shí)提高企業(yè)信息安全管理水平，還需要保證信息安全管理的有效性，因此信息安全管理有效性測(cè)量極為重要。不過(guò)當(dāng)前我國(guó)信息安全管理有效性測(cè)量才剛剛起步，雖然有很多先進(jìn)的國(guó)內(nèi)外經(jīng)驗(yàn)可供借鑒，但信息安全管理有效性測(cè)量有極大的個(gè)性化特點(diǎn)，需要根據(jù)不同企業(yè)采用不同的測(cè)量方法，建立起不同的指標(biāo)體系，運(yùn)用不同的權(quán)重賦值進(jìn)行有效性評(píng)估，這樣才能提高測(cè)量的科學(xué)性和合理性，降低測(cè)量誤差。

作者：張立偉單位：國(guó)投曹妃甸港口有限公司