開放可伸縮的信息安全管理測量評價體系

【摘要】隨著網絡技術的不斷發展，網絡信息的隱秘性和安全性成為人們越來越關注的話題。信息安全管理測量評價體系的完善與否直接關系到信息安全管理的成功與否。通過對信息安全管理的測量與評價進行有機的集成，實現信息安全管理從定性到定量的綜合集成，構建一個開放可伸縮的信息安全管理測量評價體系。

【關鍵詞】開放可伸縮信息安全管理測量評價體系

一、信息安全管理的目標和現狀

1、信息安全管理的目標。在日常的生產和生活中，信息安全事故問題時有發生。我們不僅要關注信息技術的應用而且要加強信息的安全管理。隨著技術的不斷發展，信息安全管理正在向體系化、標準化、定量化方向發展。2、信息安全管理的現狀。對信息安全管理進行剖析時一般分為兩個部分：信息安全管理的測量問題和信息安全管理的評價問題。信息安全管理測量方面，可以通過關鍵績效指標或者關鍵目標指標來測量IT領域的治理水平所達到的相應的成熟度模型的哪一級，并且ISO已經正是提出了信息安全管理測量的概念和模型，給出了部分指標的測量示例。信息安全管理評價方面，目前所做的研究很少，也沒有在宏觀層面對其進行理論性的指導，在評價內容、指標定義、評價方法等方面缺乏相應的指導。

二、開放可伸縮性的信息安全管理測量評價體系的必要性

開放可伸縮性的信息安全管理測量評價體系將信息安全管理組成一定的模型，使用一定的分析方法，分出一定的層次，深入仔細的對其進行研究，為管理者提供簡明扼要、有決策意義的綜合測量結果，為以后專家學者進行判斷性思維提供了一致性的信息，模糊綜合評價解決專家判斷的模糊性和不確定性問題，把專家的主觀定性判斷轉化為客觀性較好的定量評級結果。

三、開放可伸縮性的信息安全管理測量評價體系的基本情況

1、體系的概念和構成。開放可伸縮性信息安全理測量評價體系主要是由評價內容、評價維度、指標與測量方法、評價方法四大部分構成，每一部分都可以添加新的內容進去，體系具有開放性；組織可根據自身需求在該體系中選擇一個測量評價的子集，測量評價的內容可多可少，是一個有伸縮性的體系。在該體系中，測量過程由評價過程來指導，測量前先確定評價內容與評級維度，測量后選擇合適的評級方法來處理測量值，形成評價結果。

2、體系的各部分內容。（1）信息安全管理涉及管理、技術、經濟等多個領域，其進行評價的時候也要包含多個方面的內容。目前比較通用的是根據ISO/IEC27001關于ISMS的定義標準來確定評價內容。實際操作中，可以制作一個評價內容的相關表格，表格內容可以根據需要進行展開，也可以增加新的評級內容到評價體系中，體現評價體系的開放性。（2）評價維度。對于同一評價內容，不同的應用者關心的、思考的角度會有所不同，不同的角度需要建立與之相適應的指標集與測量方法集、評價方法集。評價維度的主要功能就是用不同的方法、分不同的角度將評價內容給落實，采用不同的管理措施，使安全管理找到一個最優的水平。（3）指標與測量方法。從ISO/IEC27004給出的信息安全管理測量的部分指標以及測量方法可以看出，指標的定義及其測量方法是緊密聯系的。信息安全管理的指標可以分成管理、技術、經濟3大類，測量方法要依據指標的種類進行不同的抉擇，此時的測量方法不能千篇一律。而且測量方法所借助的手段、工具等也是不同的，在實際操作中要仔細的分類進行。（4）評價方法。目前有多種評價方法應用的不同的領域中，信息安全管理要根據其所涉及的領域，根據需要選擇適合的評價方法。在選擇的過程中，要注意與評價維度相適應，盡量選擇簡單有效的評價方法；可以對某種評級方法進行改進或把多種評價方法綜合該進程一種以適應信息安全管理評價的應用需求。

四、小結

明確信息安全管理的目標，綜合測量和評價兩大方面，提出信息安全管理測量評價體系的主要運行模式，找出最逼近組織的實際安全水平的最優水平，構建一個完善的開放可伸縮性的信息安全管理測量評價體系，充分的保障人們生產和生活中的信息安全。

參考文獻

[1]石曙東.網絡協議安全性分析中的邏輯化方法研究[D].華中科技大學，2009，6（2）：5-9.

[2]趙文.信息安全保障度量及綜合評價研究[D].四川大學數學學院. 2006，11（3）：2-6.

[3]李鶴田，劉云，何德全.信息系統安全風險評估研究綜述[J].中國安全科學學報，2006，8（1）：108-113.

[4]黃麗民，王華.網絡安全多級模糊綜合評級方法[J].遼寧工程技術大學學報，2004，9（（4）：510-513.