開放可伸縮的信息安全管理測(cè)量評(píng)價(jià)體系

【摘要】隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)信息的隱秘性和安全性成為人們?cè)絹?lái)越關(guān)注的話題。信息安全管理測(cè)量評(píng)價(jià)體系的完善與否直接關(guān)系到信息安全管理的成功與否。通過(guò)對(duì)信息安全管理的測(cè)量與評(píng)價(jià)進(jìn)行有機(jī)的集成，實(shí)現(xiàn)信息安全管理從定性到定量的綜合集成，構(gòu)建一個(gè)開放可伸縮的信息安全管理測(cè)量評(píng)價(jià)體系。

【關(guān)鍵詞】開放可伸縮信息安全管理測(cè)量評(píng)價(jià)體系

一、信息安全管理的目標(biāo)和現(xiàn)狀

1、信息安全管理的目標(biāo)。在日常的生產(chǎn)和生活中，信息安全事故問(wèn)題時(shí)有發(fā)生。我們不僅要關(guān)注信息技術(shù)的應(yīng)用而且要加強(qiáng)信息的安全管理。隨著技術(shù)的不斷發(fā)展，信息安全管理正在向體系化、標(biāo)準(zhǔn)化、定量化方向發(fā)展。2、信息安全管理的現(xiàn)狀。對(duì)信息安全管理進(jìn)行剖析時(shí)一般分為兩個(gè)部分：信息安全管理的測(cè)量問(wèn)題和信息安全管理的評(píng)價(jià)問(wèn)題。信息安全管理測(cè)量方面，可以通過(guò)關(guān)鍵績(jī)效指標(biāo)或者關(guān)鍵目標(biāo)指標(biāo)來(lái)測(cè)量IT領(lǐng)域的治理水平所達(dá)到的相應(yīng)的成熟度模型的哪一級(jí)，并且ISO已經(jīng)正是提出了信息安全管理測(cè)量的概念和模型，給出了部分指標(biāo)的測(cè)量示例。信息安全管理評(píng)價(jià)方面，目前所做的研究很少，也沒(méi)有在宏觀層面對(duì)其進(jìn)行理論性的指導(dǎo)，在評(píng)價(jià)內(nèi)容、指標(biāo)定義、評(píng)價(jià)方法等方面缺乏相應(yīng)的指導(dǎo)。

二、開放可伸縮性的信息安全管理測(cè)量評(píng)價(jià)體系的必要性

開放可伸縮性的信息安全管理測(cè)量評(píng)價(jià)體系將信息安全管理組成一定的模型，使用一定的分析方法，分出一定的層次，深入仔細(xì)的對(duì)其進(jìn)行研究，為管理者提供簡(jiǎn)明扼要、有決策意義的綜合測(cè)量結(jié)果，為以后專家學(xué)者進(jìn)行判斷性思維提供了一致性的信息，模糊綜合評(píng)價(jià)解決專家判斷的模糊性和不確定性問(wèn)題，把專家的主觀定性判斷轉(zhuǎn)化為客觀性較好的定量評(píng)級(jí)結(jié)果。

三、開放可伸縮性的信息安全管理測(cè)量評(píng)價(jià)體系的基本情況

1、體系的概念和構(gòu)成。開放可伸縮性信息安全理測(cè)量評(píng)價(jià)體系主要是由評(píng)價(jià)內(nèi)容、評(píng)價(jià)維度、指標(biāo)與測(cè)量方法、評(píng)價(jià)方法四大部分構(gòu)成，每一部分都可以添加新的內(nèi)容進(jìn)去，體系具有開放性；組織可根據(jù)自身需求在該體系中選擇一個(gè)測(cè)量評(píng)價(jià)的子集，測(cè)量評(píng)價(jià)的內(nèi)容可多可少，是一個(gè)有伸縮性的體系。在該體系中，測(cè)量過(guò)程由評(píng)價(jià)過(guò)程來(lái)指導(dǎo)，測(cè)量前先確定評(píng)價(jià)內(nèi)容與評(píng)級(jí)維度，測(cè)量后選擇合適的評(píng)級(jí)方法來(lái)處理測(cè)量值，形成評(píng)價(jià)結(jié)果。

2、體系的各部分內(nèi)容。（1）信息安全管理涉及管理、技術(shù)、經(jīng)濟(jì)等多個(gè)領(lǐng)域，其進(jìn)行評(píng)價(jià)的時(shí)候也要包含多個(gè)方面的內(nèi)容。目前比較通用的是根據(jù)ISO/IEC27001關(guān)于ISMS的定義標(biāo)準(zhǔn)來(lái)確定評(píng)價(jià)內(nèi)容。實(shí)際操作中，可以制作一個(gè)評(píng)價(jià)內(nèi)容的相關(guān)表格，表格內(nèi)容可以根據(jù)需要進(jìn)行展開，也可以增加新的評(píng)級(jí)內(nèi)容到評(píng)價(jià)體系中，體現(xiàn)評(píng)價(jià)體系的開放性。（2）評(píng)價(jià)維度。對(duì)于同一評(píng)價(jià)內(nèi)容，不同的應(yīng)用者關(guān)心的、思考的角度會(huì)有所不同，不同的角度需要建立與之相適應(yīng)的指標(biāo)集與測(cè)量方法集、評(píng)價(jià)方法集。評(píng)價(jià)維度的主要功能就是用不同的方法、分不同的角度將評(píng)價(jià)內(nèi)容給落實(shí)，采用不同的管理措施，使安全管理找到一個(gè)最優(yōu)的水平。（3）指標(biāo)與測(cè)量方法。從ISO/IEC27004給出的信息安全管理測(cè)量的部分指標(biāo)以及測(cè)量方法可以看出，指標(biāo)的定義及其測(cè)量方法是緊密聯(lián)系的。信息安全管理的指標(biāo)可以分成管理、技術(shù)、經(jīng)濟(jì)3大類，測(cè)量方法要依據(jù)指標(biāo)的種類進(jìn)行不同的抉擇，此時(shí)的測(cè)量方法不能千篇一律。而且測(cè)量方法所借助的手段、工具等也是不同的，在實(shí)際操作中要仔細(xì)的分類進(jìn)行。（4）評(píng)價(jià)方法。目前有多種評(píng)價(jià)方法應(yīng)用的不同的領(lǐng)域中，信息安全管理要根據(jù)其所涉及的領(lǐng)域，根據(jù)需要選擇適合的評(píng)價(jià)方法。在選擇的過(guò)程中，要注意與評(píng)價(jià)維度相適應(yīng)，盡量選擇簡(jiǎn)單有效的評(píng)價(jià)方法；可以對(duì)某種評(píng)級(jí)方法進(jìn)行改進(jìn)或把多種評(píng)價(jià)方法綜合該進(jìn)程一種以適應(yīng)信息安全管理評(píng)價(jià)的應(yīng)用需求。

四、小結(jié)

明確信息安全管理的目標(biāo)，綜合測(cè)量和評(píng)價(jià)兩大方面，提出信息安全管理測(cè)量評(píng)價(jià)體系的主要運(yùn)行模式，找出最逼近組織的實(shí)際安全水平的最優(yōu)水平，構(gòu)建一個(gè)完善的開放可伸縮性的信息安全管理測(cè)量評(píng)價(jià)體系，充分的保障人們生產(chǎn)和生活中的信息安全。

參考文獻(xiàn)

[1]石曙東.網(wǎng)絡(luò)協(xié)議安全性分析中的邏輯化方法研究[D].華中科技大學(xué)，2009，6（2）：5-9.

[2]趙文.信息安全保障度量及綜合評(píng)價(jià)研究[D].四川大學(xué)數(shù)學(xué)學(xué)院. 2006，11（3）：2-6.

[3]李鶴田，劉云，何德全.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究綜述[J].中國(guó)安全科學(xué)學(xué)報(bào)，2006，8（1）：108-113.

[4]黃麗民，王華.網(wǎng)絡(luò)安全多級(jí)模糊綜合評(píng)級(jí)方法[J].遼寧工程技術(shù)大學(xué)學(xué)報(bào)，2004，9（（4）：510-513.