信息安全管理有效性的測量研究

張立偉

[摘 要] 隨著信息系統在企業中的廣泛應用，信息安全問題越來越為嚴峻，信息安全管理有效性測量是通過對企業信息安全風險進行評估，得出企業信息安全控制水平是否能保障信息系統安全的結論，對提高企業信息安全管理水平極為重要。本文就信息安全管理有效性的測量進行了研究，可供信息安全管理有效性測量實踐參考。

[關鍵詞] 信息安全；有效性；安全測量

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 10. 056

[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2014）10- 0078- 01

1 引 言

在人類進入21世紀以后，計算機、網絡、信息技術被大量應用于企業經營管理之中，其中包含很多企業機密信息，對企業經營發展極為重要，一旦出現安全問題甚至直接影響企業的生存發展。不少企業在信息系統的應用中，開始越來越重視信息安全問題，并采用多種技術和手段來提升企業信息安全能力，加強企業信息安全管理工作。但企業信息安全管理是否有效，信息安全管理能達到什么樣的安全水準，這卻是一個極容易模糊的問題。如果企業只重視信息安全技術與手段方面的建設，而不關注于信息安全管理有效性的評估，將會留下很多漏洞和缺陷，因此信息安全管理有效性測量極為重要。近年來，我國企業管理者對信息安全管理有效性測量的需求越來越大，但信息安全管理有效性測量才剛剛起步，還有很多不足和不完善的地方。本文就信息安全管理有效性的測量進行研究，旨在形成更為明晰的信息安全管理有效性測量體系，提高信息安全管理有效性測量水平。

2 測量目的和測量指標

2.1 信息安全管理有效性測量目的

信息安全管理有效性測量的根本目的，是評估企業信息安全管理的真實水平。在企業建立信息系統時，通常都會依據企業的發展需要、組織結構、信息組成、利益關系、安全標準等方面的要求，來設定企業信息系統的安全管理目標，構筑相應的安全管理體系和措施。對企業信息安全管理有效性進行測量，不僅可以對企業信息安全管理目標實現程度進行科學準確的評估，還能準確地評測企業信息安全管理系統的效能，作為企業信息安全管理考核的依據。實際上，如果不進行有效性測量，只依賴于信息系統安全測量標準來評估企業信息系統安全管理水平，將會造成極大的誤差，甚至產生很多安全漏洞，使企業實際信息安全管理水平與所需達到的水平相差甚遠，如果僅依賴于表面的數據將使這些漏洞和不足無法得到有效的解決，造成巨大的信息安全隱患。通過有效性測量，能更好地找出企業信息安全管理需要改進的地方，充分反應企業信息安全管理存在的問題和嚴重程度，為企業信息安全管理工作的改進提供依據。

2.2 信息安全管理有效性測量指標

信息安全管理不僅是國內企業的需要，也是國外企業的需要，相對來說，國外在信息安全管理方面的水平更高。目前，在國際上普遍采用ISO/IEC 27002作為信息安全管理標準，以此來實施信息安全管理，這一標準是當前最權威和最科學的信息安全管理標準，在這一標準中從信息安全方針、組織、管理等方面，提出了100余個控制措施，信息安全管理中可以根據企業的需要選擇相應的措施進行信息安全管理，該標準所提出的措施， 基本覆蓋了企業信息安全管理的各個方面。在構建信息安全管理有效性測量指標體系時，也可以按照ISO/IEC 27002標準進行，將測量內容分解為管理控制、運行控制、技術控制3個方面，并根據企業實際情況采用具有代表性、可測量的指標建立起測量指標集，對這些指標實施情況進行采集分析，再通過專家咨詢評測最終得到企業信息安全管理有效性的具體指標，評估企業信息安全達到的水平，找出企業信息安全管理的不足。

3 測量方法和指標計算

3.1 測量方法

在信息安全管理有效性測量中，應當對指標進行量化處理，最終形成量化測量結果。不同的指標，所采用的測量方法并不相同，通常采用的測量方法有風險分析、風險評估、問卷調查、個人訪談、內部審核、報表統計、滲透性測試、內外對比等方法。對不同的指標采用相應的測量方法進行測量后，得到各指標的基本測度結果，再運用不同的技術對所獲得的基本測度結果進行取值，賦予不同指標以不同的安全風險權重，最終算出企業信息安全管理有效性水平。例如在信息安全管理控制方面，需要對信息系統安全性，信息處理、信息傳輸、信息存儲安全性進行評價，并評估這些風險可能對企業資產造成的威脅以及威脅程度，結合安全問題所涉及的資產價值來判斷可能造成的影響，以評估信息安全管理控制的有效性，這其中，就需要將信息安全管理控制分解為多個指標進行測量，并根據對資產價值的影響能力賦予不同的權重和取值，才能最終確定出企業信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面，需要對人員安全、安全意識、環境安全、業務聯系、事件管理等進行有效性評估，其中人員安全包括各個人員的安全評級和安全管理情況，安全意識包括企業安全教育、人員安全技術水平等，環境安全包括物理安全環境、技術安全環境等。

3.2 指標計算

在信息安全管理有效性測量中，各指標的在安全管理有效性中的權重并不相同，因此信息安全管理有效性測量結果，不是對各指標的測量結果進行簡單相加，而是要對不同的指標賦予不同的權重，構建起評測矩陣，并充分考慮各指標之間的聯系賦值，如極端重要、強烈重要、明顯重要、稍微重要等，根據不同指標的權重進行重要性排序后，對其特征向量進行求解，確定各指標在企業信息安全管理中的影響能力。各指標的權重，并沒有統一的標準，也不可能簡單地借鑒其他企業的測量權重，根據不同企業有不同的特點，在進行測量時，應當有相當數量的專家參與權重賦值，在消除偶然因素的影響后建立起符合企業特點的指標權重體系，得出較為科學合理的指標權重，這樣才能使最重的測量結果更為科學合理。

4 結束語

信息安全問題關系著企業的競爭發展，在企業信息安全管理中，并不是構建了先進的硬件平臺和軟件系統就能切實提高企業信息安全管理水平，還需要保證信息安全管理的有效性，因此信息安全管理有效性測量極為重要。不過當前我國信息安全管理有效性測量才剛剛起步，雖然有很多先進的國內外經驗可供借鑒，但信息安全管理有效性測量有極大的個性化特點，需要根據不同企業采用不同的測量方法，建立起不同的指標體系，運用不同的權重賦值進行有效性評估，這樣才能提高測量的科學性和合理性，降低測量誤差。