如何衡量信息安全的有效性

譯 / 商嫣然

如何衡量信息安全的有效性

譯 / 商嫣然

在信息安全方面，我們要盡可能做到十分的小心。保護個人信息記錄和商業敏感信息至關重要。但是為什么說ISO/IEC 27001信息安全管理體系（ISMS）正在讓這一問題發生重大改變呢？一項新的ISO/IEC國際標準可以幫您解答。

最近更新的ISO / IEC 27004：2016《信息技術安全技術 信息安全管理 監視﹑測量﹑分析和評估》，為如何評估ISO / IEC 27001的性能提供了指導。該標準解釋了如何開發和操作測量過程，以及如何評估和報告一組信息安全度量的結果。

開發標準工作組（ISO/IEC JTC 1 / SC 27）召集人Edward Humphreys教授說：“網絡攻擊是一個組織可能面臨的最大風險之一。這就是為什么改版后的ISO/IEC 27004為許多正在實施ISO / IEC 27001保護自己免受日益多樣化的安全攻擊的組織提供了必要和實際的支持。”

安全指標可以提供關于信息安全管理體系的有效性的見解，并因此占據至關重要的位置。無論你是一名工程師還是負責安全且為管理人員或行政人員提供更多有效信息的顧問，安全指標已成為溝通組織機構網絡風險態勢的重要工具。

用Humphreys教授的話來說：“組織需要得到幫助，來解決其在信息安全管理方面的投資是否有效的問題，以便作出適當的反應，捍衛和應對不斷變化的網絡風險環境。這就是ISO/IEC 27004能為我們提供的眾多優勢?！?/p>

ISO/IEC 27004：2016展示了如何構建測量信息安全的方案，如何選擇測量對象，以及如何操作必要的測量過程。包括大量不同類型措施的例子，以及對這些措施的有效性的評估。

總的來說，ISO/IEC 27004對組織的益處體現為：

＊ 增加問責制；

＊ 改進信息安全性能和信息安全管理過程；

＊ 符合ISO/IEC 27001要求，可以作為適用相關法律﹑法規的證據。

ISO/IEC 27004：2016代替2009版；標準被更新和擴展，是為了與修訂后的ISO/IEC 27001一道為企業提供更大的附加值和信心。

ISO/IEC 27004：2016由ISO/IEC JTC 1（信息技術委員會）中的SC 27（信息安全技術小組委員會）開發，其秘書處設在DIN。

（原文標題：How to measure the effectiveness of information security，作者： Elizabeth Gasiorowski-Denis，譯自ISO官網）