1、阀、0.99与1.01之阀,1. 1J并且.0.99运0.2.运1.01,那以1. 1表示为比率组合以推断控制目标得到l实组织准则未得勇j充分满足g(0. 1/B.1Xl, ,. 现g否则需要采取管理如果0.21.01梦那以0.2. )的根舰行动组织准则未得到满足指标1.2的解释:1.2趋势。1和其+ 上升趋势表明更好地遵守了之前的值OC.2趋势(1.2)安全意识方针,下降趋势表应向上或稳定z否则明情况恶化.趋势变化的理需要采取管理仔动度可能提供对控制措施有效性的见解6 管理职贵6.1 概述管理者负责建立信息安全测量方案、吸纳利益相关者(见7.5.8)参与测量活动、接受测量结果作为管理评审的输
2、入以及在ISMS改进活动中使用测量结果。为了完成上述职责,管理者宜za) 确定信息安全测量方案的目标zb) 制定信息安全测量方案的策略zc) 建立信息安全测量方案的角色和职责zd) 提供足够的资源来执行测量,包括人员、资金、工具和基础设施Ed 确保信息安全测量方案的目标得以实现;f) 确保用于收集数据的工具和设备能够得到适当维护zu 为每一个测量构造建立测量意图zh) 确保测量就ISMS有效性和已实施的ISMS的改进需求为利益相关者提供充足的信息,包括ISMS的范围、策略、目标、控制措施、过程和规程zi) 确保测量就控制措施或控制措施组的有效性和改进已实施的控制措施的需求为利益相关者提供克足的
3、信息。10 GB/T 31497-2015/ISO/IEC 27004:2009 通过适当分配测量角色和职责,管理者宜确保测量结果不受信息拥有者(见7.5.8)的影响。这可通过职责分离来实现,或者可借助能够进行独立检查的详细文件来实现。6.2 资源管理为了支持测量必需的活动,例如数据收集、分析、存储、报告和发布,管理者宜分配和提供相应的资源。资源分配宜包括za) 负责信息安全测量方案的各个方面的人员支持gb) 适当的资金支持zc) 适当的基础设施支持,例如用于执行测量过程的物理基础设施和工具。注:G/T 22080-2008中5.2.1规定了提供ISMS实施和运行所需资源的要求。6.3 测量培
4、训11、意识和能力管理者宜确保za) 对已实施的信息安全测量方案,利益相关者(见7.5.8)在实现其角色和职责方面得到充分的培训,并且有能力执行其角色和职责zb) 利益相关者了解其责任,包括为改进所实施的信息安全测量方案提出建议的责任。7 测度和测量的制定7.1 概述为了评估已实施的ISMS和控制措施或控制措施组的有效性,并识别组织特定的测量构造集合,本章给出了如何编制测度和测量的指南。宜建立编制测度和测量所需的活动,并应建立相应的文件,活动包括zu 定义测量范围(见7.2); b) 识别信息需要(见7.3); c) 选择测量对象及其属性见7.4); d) 制定测量构造见7.5); e) 应用
5、测量构造(见7.6); f) 确定数据收集和分析过程及报告见7.7); g) 确定测量实施途经和相应的文件(见7.的。在建立这些活动时,组织宜考虑资金、人力和基础设施物理的和工具)资源。7.2 副量范围的定义由于组织能力和资源的缘故,测量活动的初始范围将受限于诸如特定的控制措施、受特定控制措施保护的信息资产、管理者给出最高优先级的特定信息安全活动等因素。随着时间的推移,考虑到利益相关者的优先级,为了处理已实施的ISMS和控制措施或控制措施组的深层要素,测量活动的范围还将可能扩大.宜识别利益相关者,并宜使其参与到测量范围的定义之中。利益相关者可以是组织内部的或外部的,例如项目管理者、信息系统管理
6、者或信息安全决策者。宜确定用于强调单个控制措施或控制措施组有效性的特定测量结果,并与利益相关者进行沟通。为了确保决策者有能力根据报告的测量结果有效改进ISMS,组织可考虑限制在给定时间间隔内向决策者报告的测量结果数量。因为报告的测量结果过多,会影响决策者集中精力和对未来改进活动进行优先级排序的能力。宜根据相应的信息需要及其相关ISMS目标的重要性来对测量结果进行优先GB/T 31497-2015/ISO/IEC 27004:2009 级排列。注=酒量范围是与根据GB/T22080-2008中4.2.1a)确定的ISMS范围相关的.7.3 信息需要的识别每一个测量构造宜至少符合一个信息需要。附录
7、A给出了一个信息需要的例子,该信息需要始于测量意图,终于相关的决策准则。为了识别相关的信息需要,宜执行以下活动za) 检查ISMS及其过程,例如z1) ISMS策略和目标、控制目标和控制措施F2) 法律法规、规章、合同和组织上的信息安全需要z3) GB/T 22080-2008中描述的信息安全风险管理过程结果。b) 基于以下准则对已识别的信息需要进行优先级排序,例如z1) 风险处置优先级F2) 组织的能力和资源zD 利益相关者的利益F的信息安全策略z5) 满足法律法规、规章和合同所需的信息p6) 相对于测量成本的信息价值。c) 为优先级列表中所强调的测量活动,选择所需要的信息子集zd) 建立所
8、选的信息需要的文件,并与所有利益相关者进行沟通。宜根据所选的信息需要实施所有相关测度,这些测度是应用于已实施的ISMS、控制措施或控制措施组的.7.4 对象及其属性的选择宜在ISMS整体背景和范围内识别测量对象及其属性。宜注意一个测量对象可能有多个可用的属性。测量用的对象及其属性宜根据相应信息需要的优先顺序来选择。贼予相关基本测度的值是通过对所选属性应用适当的测量方法获得的。这一选择宜确保z一能识别相关基本测度和适当的测量方法自一一基于获取值和巳制定的测度,产生有意义的测量结果。已选属性的特征决定了使用何种类型的测量方法(如定性或定量),以获取贼予基本测度的值。宜建立已选对象和属性的文件,并给
9、出选择依据。描述测量对象及其相应属性的数据宜用作赔予基本测度的值。测量对象的例子包括但不限于2一一产品和服务z一一过程$一一GB/T22080一2008(A.7.1.1资产清单)中已识别的可用资产,例如设施、应用和信息系统F一一业务单位z一一地理位置g一一第三方服务。宜评审属性以确保za) 为测量选择了适当的属性zb) 已确定了的收集数据能够为有效测量提供足够数量的属性。宜选取仅与相应基本测度有关的属性。虽然属性的选择宜考虑在获取要测属性的难度,但不宜仅GB/T 31497-2015/ISO/IEC 27004:2009 选择那些容易获得的数据或容易测量的属性。7.5 测量构造的制定7.5.1
10、 黯述从7.5.2(测度选择)-7.5.8(利益相关者给出了测量构造的制定方法。7.5.2 测度选择宜识别可能满足巳选信息需要的测度。为了实施所选择的测度,宜足够详细地定义已识别的测度。新识别的测度可涉及到现有测度的改变。注z基本测度的识别是与测量对象及其属性的识别密切相关的.宜选择可能满足已选信息需要的已识别的测度。也宜考虑解择或规范测度必需的背景信息。注2可以选择许多不同的测度组合即基本测度、导出测度和指标用于处理特定的信息需要.已选测度宜反映信息需要的优先顺序,更多可用于选择测度的示例准则包括z-一数据容易收集p-为收集和管理数据,人力资源具有可用性;一-具有可用的适当工具z一二基本测度
11、支持的潜在相关指标的数量;一-容易解释;一一己制定的测量结果的用户数量z一一该测度适合意图或信息需要的证据;一一收集、管理和分析该数据的戚本。7.5.3 定义副量方法宜为每个基本测度定义一种测量方法。测量方法通过把属性变成赔予基本测度的值来量化测量对象。测量方法可以是主观或客观的。主观方法依赖于涉及人为判断的量化;而客观方法使用基于诸如计算的数值规则的量化,可通过人工或自动化手段予以实现。测量方法通过应用适当的标度将属性量化为值。每个标度都有测量单位。只用同测量单位表示的量可以直接进行比较,对于每个测量方法,宜建立验证过程,并建立相应的文件。验证宜确保通过对测量对象的属性应用一个测量方法得到的
12、、并赋给基本测度的值的可信度。需要确定有效值时,用来获取属性的工具宜被标准化,并在规定的时间间隔内对其进行验证。宜考虑测量方法的精度,并宜记录相关的偏差或变化。为了便于在不同时间贼给基本测度的值是可比较的,贼给导出测度和指标的值也是可比较的,测量方法宜在整个时间内是一致的。7.5.4 定义测量函数宜为每个导出测度定义一个测量函数,应用该函数对两个或两个以上基本测度进行赋值。通过测量函数把对一个或多个基本测度的赋值变成对一个导出测度的赋值。在某些情况下,除了导出测度外,基本测度可直接作为分析模型的输入。测量函数(例如一个计算可能涉及多种技术,例如计算所有基本测度的赋值的平均值、对基本测度的赌值进
13、行加权,或在把基本测度聚合成导出测度之前,给基本测度的赋值指定定性值。测量画数可采用不同标度来组合基本测度的赋值,例如采用百分比和定性评估结果。13 GB/T 31497-2015/ISO/IEC 27004:2009 7.5.5 定义分新模型宜为每个指标确定分析模型,以便将一个或多个赋给基本测度和(或导出测度的值转换成对该指标的赋值。分析模型以一种对利益相关者产生有意义输出的方式,对相关测度进行组合。当定义分析模型时,也宜考虑应用于指标的决策准则。有时,一个分析模型可能是相当简单的,只是把一个导出测度的值转换成赋予一个指标的值。7.5.6 指标的生成通过聚合贼予导出测度的值来产生赋予指标的值
14、,并基于决策准则解释这些值。对于报告给用户的每个指标,宜定义指标表达格式,作为报告格式的一部分(见7.7)。指标表述格式将直观地描述测度,并提供指标的逐字说明。指标表述格式宜客户化,以便满足客户的信息需要。7.5.7 定义决策准则宜基于信息安全目的,对每一个指标,定义相应的决策准则,以便为利益相关者提供措施方面上的指南。这一指南宜基于指标,强调期望的进展以及初始改进措施的阔值。决策准则建立了一个性能目的,通过这一性能目的来度量测量方案的成功见5.3),并提供有关解释该指标是否接近该目标的指导。宜对ISMS过程和控制性能、达到的目的以及对该ISMS的有效性评估等每一项,建立相应的性能目的。管理者
15、在初始数据收集之前可以不建立有关指标的性能目标。一且识别了基于初始数据的纠正措施,那么就可以为一个特定的ISMS定义实际可用的决策准则和实施里程碑。如果在一个点上没有建立决策准则,那么管理者就宜评价该测量对象及其对应的测度是否为组织提供了所期望的值。如果历史数据就开发的或选择的测度是可用的话,那么建立决策准则就可能是服务性的。过去所观察的趋势将提供以前存在的性能程度的见解,并指导创建实际可用的决策准则。决策准则可以计算出来,或基于所期望行为的概念上的理解。决策准则可以从历史数据、计划和直觉中导出,或按统计上的控制限度或统计上的可信度限度计算出来。7.5.8 识别利益相关者宜为每个基本和/或导出
16、测度识别适当的利益相关者,并建立相应的文件。利益相关者可包括za) 测量委托人z要求或需要关于ISMS、控制措施或控制措施组的有效性的信息的管理者或其他相关方Eb) 测量评审人z确认已制定的测量构造是否适合于评估ISMS、控制措施或控制措施组的有效性的人员或部门pc) 信息拥有人z拥有关于测量对象及其属性的信息,并且负责该测量的人员或部门zd) 信息收集人:负责收集、记录和存储数据的人员或部门p的信息掏通人z负责分析数据并负责沟通测量结果的人员或部门。7.6 测量构造的应用在应用测量构造中,其规约至少宜包括如下信息za) 测量目的;b) 要测量的控制措施、特定控制措施、一组控制措施以及要测量的
17、ISMS过程所实现的控制14 GB/T 31497-2015/凶0月EC27004 :2009 目的sc) 测量对象zd) 要收集、使用的数据Fe) 数据收集和分析的过程Ff) 测量结果报告过程,包括报告格式zg) 利益相关者的角色和职责Fh) 评审测量的周期,以确保其对信息需要是有用的。附录A给出了一个通用的测量构造实例,包含a)-h)。附录B给出了应用于测量ISMS过程和控制措施的测量构造实例。7.7 数据收集、分析和报告的建立宜建立数据收集和分析的规程,并报告已产生测量结果的过程。如有需要,也宜建立支持工具、测量设备和技术。这些规程、工具、测量设备和技术将关注以下活动za) 数据收集,包
18、括数据存储和验证(见8.3)。规程宜识别在使用测量方法、测量函数和分析模型中,如何收集数据,以及在任何特定信息环境下如何存储数据。为了验证丢失的数据是否是最小的,并且赋给每个测度的值是否是有效的,通过对照掏造的检查表,检查数据来完成数据验证。注z赋予基本测度的值的验证是与测量方法(见7.5.3)的验证密切相关的.b) 数据分析和已产生的测量结果的报告。规程宜规定数据分析技术(见9.2)以及报告测量结果的频率、格式和方法。宜识别执行数据分析可能需要的工具范围。报告格式的例子包括:一一记分卡,通过整合高层次指标,提供战略信息z一可执行和可运行的仪表,其极少注重于战略目标,更多地受特定的控制措施和过
19、程的有效性的约束F一一报表,其形式可以是简单和静态的报表(例如给定时期内的测度列表),也可以是相当复杂的交叉报表,具有嵌套分组、滚动总结、动态追溯或链接功能。当用户需要查看原始数据时,报表最好使用容易阅读的格式。一-表示一个动态值的测量仪器,包括警报、附加的图形元素和终点标记。7.8 测量实施途径和相应文件的建立在一个实施计划中,宜建立测量整个途径的文件。该实施计划至少宜包括以下信息:a) 组织信息安全测量方案的实施情况Fb) 如下的测量规约z1)组织通用的测量构造FD组织独有的测量构造;3)数据收集、分析的范围和规程的定义Fc) 执行测量活动的日程计划zd) 通过执行测量活动产生的记录,包括
20、已收集的数据和分析记录se) 向管理者或利益相关者报告的测量结果的报告格式(见GB/T22080-2008第7章管理评审勺。15 GB/T 31497-2015/ISO/IEC 27004:2009 8 测量运行8.1 辄述为了确保已产生的测量结果能为已实施的ISMS、控制措施或一组控制措施的有效性提供准确的信息,信息安全测量的运行涉及一些必不可少的活动。活动包括zd 将测量规程整合到整个ISMS的运行中zb) 收集、存储并验证数据。8.2 规程的整合信息安全测量方案宜完全整合到ISMS中,并由该ISMS所使用。测量规程宜与ISMS运行相协调,包括za) 针对信息安全测量的制定、实施和维护,定
21、义角色、授权和职责,并建立相应的文件zb) 收集数据,并在必要时,为了配合数据的产生和收集活动,修改当前ISMS的运行zd 与利益相关者掏通数据收集活动中的变更;d) 保持信息收集人能力,及其对己需要的数据类型、数据收集工具和数据收集规程的理解;e) 有关定义测量在组织内的使用、测量信息的发布、信息安全测量方案的审核和评审,制定方针策略和规程$0 把数据分析和报告与相关过程进行整合,以便确保它们的正常执行Fg) 监视、评审和评价测量结果;h) 为了确保测度和组织一起发展,建立逐步淘汰测度和增加新测度的过程$0 为了进行趋势分析,建立一个确定历史数据使用寿命的过程。8.3 数据收集、存储和验证数
22、据收集、存储和验证活动包括:a) 定期使用指定的测量方法收集所需的数据Fb) 建立数据收集的文件,包括z1) 数据收集的日期、时间和地点$2) 信息收集人F3) 信息拥有人z。在数据收集期间发生的、所有可能有用的问题5日有关数据验证和测量确认的信息。c) 按照测度选择准则和测量构造确认准则,验证所收集的数据。宜整合已收集的数据和所有必要的背景信息,并以有利于进行数据分析的记录格式进行存储。9 数据分桥和副量结果报告9.1 梧述为了产生测量结果,宜分析已收集的数据。宜通报已产生的测量结果。活动包括za) 分析数据并产生测量结果sGB/T 31497-20 15/ISO/IEC 27004: 20
23、09 b) 与利益相关者掏通测量结果。9.2 分析数据并产生副量结果宜使用决策准则分析和解释已收集的数据。在分析之前,数据可被整合、转换或重新记录。在分析数据期间,为了产生指标,宜对数据进行相应的处理。可应用到许多分析技术。宜根据数据特点和信息需要,确定分析的深度。注s执行统计分析的指南可在ISO/TR10017(统计技术在ISO9001中的应用指南中找到。宜解释数据分析结果。分析结果的人员(沟通者宜能够根据结果得出初步结论。然而,由于沟通者可能不直接参与技术和管理过程,因此这些结论需要由其他利益相关者予以评审。所有的解释宜考虑测度的背景。数据分析宜识别己实施的ISMS、控制措施或控制措施组的
24、预期测量结果与实际测量结果之间的差距。已识别的差距将能够指出已实施的ISMS的改进需要,包括ISMS的范围、方针策略、目标、控制措施、过程和规程。宜识别那些被证明不符合或者不良性能的指标,并可把它们归类如下za) 风险处置计划失效于实施,或失效于控制措施或失效于ISMS过程的不充分实施、运行和管理(例如,控制措施和ISMS过程可能被威胁绕过hb) 风险评估失效于z1) 控制措施或ISMS过程是无效的,因为它们要么不足以应对已估计的威胁(如因为低估了威胁发生的可能性).要么不足以应对新的威胁z2) 没有实施控制措施或ISMS过程,因为忽视了威胁。按照信息安全测量方案的实施计划,宜采用适当的报告格
25、式(见7.7).编制用于跟利益相关者构通测量结果的报告。为了确保数据的合理解释,分析结论宜由利益相关者予以评审。为了与利益相关者沟通,宜对数据分析的结果,建立相应的文件。9.3 沟通测量结果信息沟通者宜确定如何沟通信息安全测量结果,例如z一一确定哪些测量结果要向内部和向外部报告z一测度列表要与单个利益相关者或相关方对应z-提供特定测量结果,根据各组需要裁剪表述类型z一一为了评价测量结果的有用性和信息安全测量方案的有效性的需要,获取利益相关者反馈信息的方式。信息沟通者宜与不同类型的内部利益相关者沟通测量结果。内部利益相关者包括但不限于z一一测量委托人见7.5.的z一一信息拥有人(见7.5.的F一
26、承担信息安全风险管理的人员,特别是那些风险评估失效的人员;一一负责那些被识别为需要进行政进领域的人员。有些情况下,会要求组织向外部各方(包括监管部门、利益相关者、客户和提供方分发测量结果报告。建议组织向外部分发的测量结果报告只包含适合外部发布的数据,并且在发布前得到管理者和利益相关者的批准。17 GB/T 31497-20 15/ISO/IEC 27004:2009 10 信息安全测量方嚣的评价和改进10.1 辄述组织宜按计划的时间间隔评价以下方面za) 己实施的信息安全测量方案的有效性,以确保它z1) 以有效的方式产生测量结果FD 可按计划予以执行z3) 关注了已实施的ISMS和(或)控制措
27、施的变化go 关注了环境(如要求、法律或技术的变化。b) 巳产生的测量结果的有用性,以确保己产生的测量结果满足相关的信息需要。管理者宜规定这种评价的频率,规划定期修订,并建立使修订成为可能的机制(见GB/T22080-2008 7.2). 宜包括以下相关活动z1) 识别信息安全测量方案的评价准则(见10.2), D 监视、评审和评价测量(见10.3); 3) 实施改进(见10.4)10.2 识别信息安全测量方案的评价准则组织宜为评价信息安全测量方案的有效性以及评价已产生的测量结果的有用性,定义相应的评价准则。该评价准则宜在开始实施信息安全测量方案时,通过考虑技术和组织业务目标予以定义。在组织评
28、价和改进已实施的信息安全测量方案时,最可能的准则包括:组织业务目标的变更s一一-信息安全法律法规或规章的要求和合同义务的变更;-组织信息安全要求的变更;组织信息安全风险的变更;为测量意圈,增强更精细或更适宜数据的可用性,或增强数据收集方法的可用性g-一一测量对象和(或)其属性的变更。以下准则可应用于评价已产生的测量结果za) 测量结果是z1) 易于理解的$2) 以及时的方式进行沟通的z3) 客观的、可比较的和可重新生成的。b) 为了产生测量结果而建立的过程z1) 被很好地定义z2) 易于运行$3) 被正确遵循。c) 测量结果对改进信息安全有帮助。d) 测量结果满足相应的信息需要。10.3 监视
29、、评审和评价信息安全测量方案组织宜按照已确立的准则(见10.刀,监视、评审和评价信息安全测量方案。组织宜识别改进信息安全测量方案的潜在需求,包括z18 GB/T 31497-2015/ISO/IEC 27004:2009 a) 修订或删除已采用的、不再适用的测量构造zb) 重新分配资源,以支持信息安全测量方案。组织也宜识别改进已实施的ISMS的潜在需求,包括ISMS的范围、策略、目标、控制措施、过程和规程F为了便于在随后的评审期间进行比较和趋势分析,组织宜建立管理决策的文件。组织宜与利益相关者沟通评价结果和巳识别的潜在改进需求,方便其对必要的改进做出相应的决策。组织宜确保获取利益相关者对评价结
30、果和已识别的潜在改进需要的反馈。组织宜了解该反馈是对信息安全测量方案有效性的输人之一。10.4 实施改进组织宜确保利益相关者识别出信息安全测量方案所需要的改进见GB/T22080-2008中7.3e)J。巳识别的改进宜得到管理者的批准。宜为巳批准的计划建立相应的文件,并与适当的利益相关者进行沟通.组织宜确保已批准的信息安全测量方案的改进能够按计划予以实施.组织可应用项目管理技术来完成这些改进。19 GB/T 31497-2015/ISO/IEC 27004: 2009 附录A资料性附录)信息安全测量掏造摸辄附录A给出了一个信息安全测量构造的示例模板,根据5.4的描述,该模板包括7.5中所识别的
31、所有成分。组织可根据自己的要求,对该模板进行适当的修改。测量构造识别测量构造名称测量名称数字标识符组织特定的唯一的数字标识符测量构造的意图描述引人该测量的理由控制/过程目标(巳计划或实施的测量的控制/过程的目标控制措施(1)/过程(1)要测量的控制措施/过程控制措施(2)/过程(2)可选z如适用(巳计划或实施的),在同一测度的控制措施/过程集内进一步要测的控制措施/过程测量对象及其属性测量对象对象(实体是通过测量其属性来表征其特征的。对象可能包含过程、计划、项目、资源、系统或系统组件属性测量对象的特征或特性,可以通过人为的或自动的手段定量或定性方法予以区分基本测度说明对每一个基本测度1J)利用
32、4个属性及量化该属性所规约的测量方法来定义一个基本测度(例1基本测度如受训人员数量、场所数量、迄今为止的累计成本)。当数据收集后,一个值被赋予给一个基本测度测量方法一种逻辑操作序列,用于按指定标度量化属性取决于用来量化属性的操作本质。可分为两种类型z测量方法类型主观类捞及人为判断的量化z客观类一基于数字规则例如统计)的量化标度值的一个有序集合z或由该基本测度的属性所映射的范畴标度类型取决于标度值间关系的本质。通常定义四种类型的标度z标称型标度、顺序型标度、间距型标度和比率型标度测量单位按约定定义和采用的具体量,其他同类量与这个量进行比较,以便把两者的比率表示为一个数20 GB/T 31497-
33、20 15/ISO/IEC 27004 :2009 导出测度说明导出测度由两个或两个以上基本测度的画数导出的测度为组合两个或两个以上基本测度而执行的算法或计算。导出测度的标度测量函数和单位取决于所组合的基本测度的标度和单位,以及组合这些基本测度的测量画数指标说明指标依据一个分析模型所导出的测度,该测度就所定义的一个信息需要,针对所规约的属性,提供了一个估算或评价。指标是分析和决策制定的基础按照相关的决策准则,组合一个或多个基本测度和(或导出测度的算法分析模型或计算。分析模型基于基本测度和(或导出测度和(或它们在整个测量期间行为的理解或假设。模型产生与已确定的信息需要相关的评估或评价决策准则说明
34、决策准则用于确定有关行动或进一步调查的需要,或者用于描述给定结果可信度的阔值、目标性能或模式。决策准则有助于解释测量结果测量结果斗指标解释样例指标(见指标描述中的样例图)宜如何解释的一个描述宜识别报告格式,并建立相应的文件。描述组织或信息责任人可能想记|报告格式录的评论。报告格式将真实地描述测度,并提供指标的书面说明。报告格式宜针对该信息客户予以客户化利益相关者测量委托人要求或需要关于ISMS、控制措施或控制措施组的有效性信息的管理者或其他相关方测量评审人确认已制定的测量构造是否适合于评估ISMS、控制措施或控制措施组的有效性的人员或部门信息责任人拥有关于测量对象及其属性的信息,并且负责测量的
35、人员或部门信息收集人负责收集、记录和存储数据的人员或部门信息沟通人负责分析数据并沟通测量结果的人员或组织部门频率/周期数据收集频率多久收集一次数据数据分析频率多久分析一次数据测量结果报告频率测量结果多久报告一次(可能比数据收集频率低)测量修订测量修订的日期(测量有效期满或更新测量周期定义测量的周期21 GB/T 31497-2015月SO/IEC27004: 2009 附录B(资料性附录测量构造示例以下给出了测量构造的示例。这些示例是为了说明如何使用附录A中提供的模板来应用本标准。目次ISMS培训B.l B. 1.1 B. 1.2 B.l.3 B.2 B.2.1 已完成ISMS培训的人员信息安
36、全培训信息安全意识符合性口令策略口令质量一手册口令质量一一自动化ISMS评审过程ISMS持续改进B.2.2 B.3 B.4 B.4.1 B.4.2 B.5 B.6 B.7 B.8 B.9 B.I0 信息安全事件管理的有效性纠正措施的实施管理承诺防范恶意代码物理人口控制日志文件评审定期维护管理第三方协议中的安全相关的过程和控制措施(GB/T22080-2008 中的章条或附录A中的控制措施编号4.2.2 h) 5.2.2 d) 8.2 控制措施A.6.1.8控制措施A.6.1.1和A.6.1.2控制措施A.6.2.3控制措施A.8.2.和A.8.2.2控制措施A.8.2.和A.8.2.2控制措施
37、A.9.1.2控制措施A.9.2.4控制措施A.I0.4.1控制措施A.I0.I0.1和A.I0.I0.2控制措施A.ll.3.1控制措施A.l1.3.122 相关的测量构造.m例(本附录引用)B.4.1 B. 1.1 B.4.2 B.3 B. 5 B.I0 B.1.2 B. 1.3 B. 7 B.9 B.6 B.8 B.2.1 B.2.2 测量构造示例名称信息安全事件管理的有效性已完成ISMS培训的人员纠正措施的执行情况ISMS评审过程管理承诺第三方协议中的安全信息安全培训信息安全意识符合性物理人口控制定期维护管理防范恶意代码日志审查口令质量一一手册口令质量一一自动化GB/T 31497-2
38、015/ISO/皿C27004:2009B.l ISMS培训B.l.l 巴完成ISMS培训的人员测量构造识别测量构造名称已完成ISMS培训的人员数字标识符组织特定的测量构造的目的确定控制措施,符合组织信息安全策略控制/过程目标5.2.2 (GB/T 22080-2008)培训、意识和能力5.2.2.d) (GB/T 22080-2008)培训、意识和能力控制措施。)/过程。组织应通过d)保持教育、培训、技能、经历和资格的记录,确保所有被赋予ISMS职责的人员具有执行所要求任务的能力控制措施(2)/过程(2)可选z如适用(已计划或实施的),在同一测度的控制措施/过程集内进一步的控制措施/过程测量
39、对象及其属性测量对象员工数据库属性培训记录一基本测度说明(1)一一-一,基本测度根据ISMS年度培训计划,已接受ISMS培训的员工数量。必须接受ISMS培训的员工数量测量方法统计ISMS培训日志/登记簿上写为已接受的员工数量测量方法类型客观类标度个数标度类型比率标度测量单位员工导出测度说明导出测度已完成ISMS培训的人员百分比测量函数已接受ISMS培训的员工数量除以必须接受ISMS培训的员工数量XI00指标说明指标用颜色标识的颜色代码。描绘与分析模型定义的阔值(红、黄、绿)有关的多个报告周期的符合性的柱状图,图表使用的报告周期的数量宜由组织定义分析模型。60%一一虹色;60%90%-黄色;90
40、%100%一一绿色。对于黄色,如果每季度没有达到至少10%的进展,等级自动变为红色23 GB/T 31497-20 15/ISO/IEC 27004:2009 决策准则说明-咽二_._-红色一一要求干预,必须进行原因分析,以确定不符合和执行情况较差的l决策准则原因。黄色一一可能变为红色,宜密切关注指标,绿色一一不需要采取行动测量结果指标解释组织特定的报告格式基于决策准则的有颜色代码条的柱状图。筒短总结哪些测量工具和可能的管理活动宜附在柱状图上利益相关者测量委托人负责ISMS的管理者测量评审人负责ISMS的管理者信息责任人培训管理者一一人力资源信息收集人培训管理者-一一人力资源部门信息掏通人负责
41、ISMS的管理者频率/周期数据收集频率每月,当月的第一个工作日数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期每年问-B.1.2 信息安全培训测量构造识别测量构造名称信息安全培训数字标识符组织特定的测量构造的目的评价年度信息安全意识培训要求的符合性A.8.2任用中控制/过程目标目标z确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务,并准备好在其正常工作过程中支持组织的安全策略,以减少人为出错的风险A.8.2.2 (GB/T 22080-2008)信息安全意识、教育和培训控制措施。)/过程。组织的所有雇员,适当时,包括承包方人员和第三方人员,
42、应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训24 GB/T 31497-2015/IEC27004:2009 测量对象及其属性测量对象员工数据库属性培训记录基本测度说明(1)基本测度已接受年度信息安全意识培训的员工数量。需要接受年度信息安全意识培训的员工数量测量方法统计年度信息安全意识培训日志/登记簿上写为已接受的员工数量测量方法类型客观类标度个数标度类型比率标度测量单位员工导出测度说明导出测度已接受年度信息安全意识培训的人员百分比测量画数1已如度信息量圭章识叫时量/必须接曼年度信息时|识培训的员工数量X100指标说明指标描绘与分析模型定义的阔值(红、黄黯)有关的多
43、个报告周期的符合性的l柱状图。图表使用的报告周期的数量宜由组织定义分析模型60%一红色;60%-90%一黄色;90%-100%一绿色。对|于黄色,如果每季度没有达到至少10%的进展,等级自动变为红色决策准则说明¥-一一一一,一干红色一要求干预,必须进行原因分析,以确定不符合和执行情况较差的决策准则原因。黄色一可能变为红色,宜密切关注指标。绿色一一不需要采取行动测量结果指标解释组织特定的报告格式基于决策准则的有颜色代码条的柱状图。简短总结哪些测量工具和可能的管理活动宜附在柱状图上利益相关者测量委托人负责ISMS的管理者、安全管理者、培训管理者测量评审人安全管理者信息责任人信息安全部门人员和培训管
44、理者信息收集人培训l管理者一一-人力资源部门信息沟通人负责ISMS的管理者25 GB/T 31497-20 15/ISO/IEC 27004: 2009 频率/周期数据收集频率每月,当月的第一个工作日数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期每年B.1.3 信息安全意识符合性测量构造识别-测量构造名称信息安全意识策略符合性数字标识符组织特定的测量构造的目的评估相关人员对组织安全意识策略的符合状况A.8.2任用中控制/过程目标确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关|系、他们的职责和义务,并准备好在其正常工作过程中支持组织的安全策略,以减少人为出错
45、的风险A.8.2.2组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新控制措施(1)/过程(1)培训。(实施)所有ISMS相关人员在被授权访问一个信息系统前必须接受信息安全意识培训。培训包括.A.8.2.1管理者应要求雇员、承包方人员和第三方人员按照组织已建立的控制措施(2)/过程(2)方针策略和规程对安全尽心尽力。实施与ISMS相关的所有人员在被授权访问一个信息系统前必须签署用户协议测量对象及其属性1.信息安全意识培训计划/时间表E测量对象2.已完成或正在培训的人员p3.签署用户协议的计划/时间表s4.已签署协议的人员1.
46、计划中确定参加培训的人员s属性2.人员的培训状况;3.计划中确定签署协议人员z4.人员签署协议的状况一一一26 GB/T 31497-2015/ISO/皿C27004 : 2009 基本测度说明1.迄今为止按计划要参加培训的人数z基本测度2.已签署协议的人数F3.迄今为止计划签署协议的人数F4.迄今为止已签署协议的人数1.统计计划中迄今为止要完成签署协议和培训的人数z测量方法2.向责任人索取已完成培训和签署协议人员的百分比;3.统计计划中迄今要签署协议的人数F4.统计已签署用户协议的人数1.客观类:测量方法类型2.主观类s3.客观类:4.客观类1.从0到无穷大的整数;标度2.从0到100的整数
47、z3.从0到无穷大的整数z4.从0到无穷大的整数1.顺序标度z标度类型2.比率标度p3.顺序标度z4.顺序标度1.人员z测量单位2.百分率;3.人员;4.人员导出测度说明导出测度1.迄今为止培训的进展;2.迄今为止协议签署的进展测量函数1.将迄今为止所有已签署协议人员完成培训的百分比相加z2.迄今为止已签署协议的人员除以迄今为止计划签署协议的人员指标说明指标1.表示为比率组合的状况;2.趋势1.迄今为止培训的进展除以迄今为止按计划要培训的人员,再乘以100;分析模型以及迄今为止胁议签署的进展F2.把现状和之前的状况相比较27 GB/T 31497-20 15/ISO/IEC 27004: 20
48、09 决策准则说明1.结果比率宜分别在0.9与1.1之间、0.99与1.01之间,以推断控制目标决策准则得以实现及不需要采取行动s2.趋势宜向上或稳定测量结果指标a)的解释宜包括以下方面z当0.91.1J且0.99第二个比率运1.01时,组织准则未得到充分满足z对应斜体:指标解释当第二个比率1.01时,组织准则未得到满足z对应黑体。指标b)的解释宜包括以下方面z上升趋势表明安全意识策略符合情况已改善,下降趋势表明情况恶化。趋势变化的程度可提供对控制措施实施有效性的深人了解。各趋势的明显变化指明控制措施实施要求进一步考察以确定原因。消极趋势可要求管理干预,棋极趋势宜进行考察,以识别潜在的最佳实践
49、标准字体=准则已得到充分满足z报告格式斜体=准则未得到充分满足3黑体=准则未得到满足利益相关者测量委托人负责ISMS的管理者、安全管理者、培训管理者测量评审人安全管理者信息责任人信息安全部门人员和培训管理者信息收集人培训管理者一人力资源部门信息沟通人负责ISMS的管理者频率/周期数据收集频率每月,当月的第一个工作日数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期每年-一-町-28 GB/T 31497-20 15/ISO/IEC 27004:2009 B.2 口令策略B.2.1 口令质量一一孚册测量构造识别测量构造名称口令质量数字标识符组织特定的测量构造的目的评估用户用来访问组织的IT系统的口令质量控制/过程目标防止用户选择不安全的口令A.l1.3.1应要求用户在选择和使用口令时,遵循良好的安全习惯。实施。所有用户必须为每个系统选择强口令,这些口令E1.长度大于8,控制措施。)/过程。2.不
