信息安全績效測量體系研究

董亦兵 張林山

(中國人民銀行清算總中心，北京 100048)

1 引 言

信息安全績效管理是組織信息安全的重要管理手段之一，設計出良好的測量指標體系是業內熱點問題。本文基于一般績效管理流程的基礎上，結合信息安全相關國際國內標準，設計信息安全績效測量體系的流程和方法，并結合實例介紹設計步驟，在信息安全管理實際工作過程中為讀者提供參考。

2 信息安全績效管理概述

2.1 信息安全績效管理

在組織層面，績效管理涉及組織的所有部門或領域績效，包括經營績效、財務績效、人事績效、IT績效等。IT績效按照管理領域劃分，又包括IT項目績效、IT開發質量績效、運維績效、信息安全績效等。信息安全績效是組織IT績效的重要組成部分，由于發生信息安全事件對組織經營、財務、聲譽等產生較大影響，甚至會引發客戶對組織的信任危機，危及企業的生存，通常占信息IT部門整體績效較大比重,其關系如圖1所示。

圖1 績效管理與信息安全績效管理的關系Fig.1 The relationship between performance management and information security performance management

在國家層面，信息安全已經成為國家安全的一部分，當代國家安全包括11個方面的基本內容，即國民安全、領土安全、主權安全、政治安全、軍事安全、經濟安全、文化安全、科技安全、生態安全、信息安全和核安全。越來越多的行業監管部門要求將信息安全績效納入對高級管理層的考核，甚至信息安全績效考核不合格，對晉升、薪資調整等一票否決，嚴重時需要追究領導責任。2016年12月9日，中共中央國務院發布了《關于推進安全生產領域改革發展的意見》，提出了“黨政同責、一崗雙責、齊抓共管、失職追責”的要求。這是新中國成立以來第一個以黨中央、國務院名義出臺的安全生產工作的綱領性文件。文件提出的一系列改革舉措和任務要求，為當前和今后一個時期我國安全生產領域的改革發展指明了方向和路徑。2019年3月1日國務院國資委發布《中央企業負責人經營業績考核辦法》，首次將網絡安全納入中央企業負責人考核內容，涉及對相關責任人的降級、扣分、追責、紀律處分、移送國家監察機關或司法機關的處罰措施。

2.2 信息安全績效測量體系

績效測量體系是績效管理生命周期中“績效計劃制定”的產物，在對組織文化、經營理念、組織管理目標、組織現狀和未來發展路線充分理解的基礎上，設計的一套績效測量方法。績效測量體系通常包括績效目標、績效指標、績效指標責任主體、績效測量對象、績效測量方法、績效測量頻率、組織風險容忍度和期望等。

信息安全測量指標設計應當遵照SMART原則[1]，具體包括五條原則:1)S原則：明確性，即測量指標必須是具體的(Specific)；2)M原則：可衡量性，即測量指標必須可衡量的(Measurable)；3)A原則：可實現性，即測量指標必須是可達到的(Attainable)；4)R原則：相關性，即測量指標是要與其他目標具有一定相關性(Relevant)；5)T原則：時限性，即測量指標必須有明確的截止期限(Time-bound)。

信息安全測量指標設計除了遵循SMART原則外，設計過程中還應全面考慮信息安全的管理特點、組織信息安全管理目標、組織架構、團隊能力、管理成熟度、組織風險偏好等諸多因素。科學的信息安全測量指標應具有以下特征。

1)風險導向：測量指標應與組織信息安全管理體系保持一致，應能反映管理體系中重要領域、關鍵環節、主要活動的成熟度和當前組織對風險的承受能力；

2)明確測量方法：所有指標應有明確的測量方法，測量方法盡量采用客觀指標，避免主觀因素影響測量效果；

3)全面涵蓋：測量指標應能覆蓋治理層、管理層和執行崗位。測量指標應能覆蓋信息安全管理過程、技術管理過程和管理結果。

3 信息安全績效測量體系設計方法

信息安全績效測量體系設計流程如圖2所示。

圖2 信息安全績效測量體系設計流程Fig.2 Design process of information security performance measurement system

3.1 確定測量目標

信息安全績效的測量目標是通過定期的測量活動，評價組織信息安全管理目標的達成情況和控制的有效性，信息安全績效測量目標應與信息安全管理目標保持一致。

設計信息安全績效測量體系前，組織應建立一套適合自身需要的信息安全管理體系(Information Security Management System，即ISMS)。很多組織按照ISO/IEC 27001:2013標準或其他標準建立信息安全管理體系，本文介紹兩種常見的信息安全測量目標框架，并結合這兩種目標框架分析信息安全績效測量體系的設計思路。

3.1.1GB/T22080—2016信息安全管理目標

GB/T 22080—2016是我國國家標準化組織根據ISO/IEC27001:2013制定的國家標準，用于指導組織建立符合ISO/IEC27001:2013的信息安全管理體系，該標準第五章至第十八章列示了35個信息安全控制目標，其目標框架如圖3所示[2]。

圖3 ISO27001信息安全控制目標Fig.3 Information security control objective

3.1.2GB/T31495.2—2015信息安全測量目標

GB/T 31495.2—2015是信息安全保障指標體系及評價方法的指標體系部分，適用于組織規模較大、信息安全成熟度較高的組織。GB/T 31495.2—2015從信息安全保障的視角，通過十三類指標評價組織信息化建設、運行和安全態勢層面評價組織信息安全保障能力[3]，其測量目標框架如圖4所示。

3.2 設計績效指標體系

確定指標體系框架后，就進入績效指標設計階段，通過設計具體的績效指標用于衡量指標框架每個部分的績效情況。例如GB/T 31495.2—2015一共定義了25個具體指標[3]，其指標體系如圖5所示。

圖4 信息安全保障指標體系框架Fig.4 Framework of information security assurance indicator system

圖5 信息安全保障指標體系Fig.5 Information security assurance indicator system

國際標準化組織根據ISO/IEC27001:2013信息安全管理體系要求，設計了35個測量指標體系，形成了ISO/IEC27004:2016。該35個測量指標主要測量組織是否滿足ISO/IEC27001：2013，但并沒有反映組織的成熟度、組織風險偏好和容忍度、管理薄弱環節，組織在設計績效指標時，可結合ISO/IEC27004:2016、GB/T 31495.2—2015和組織自身的情況，設計績效指標體系。限于篇幅本文并不詳細闡述35個指標，讀者可以參考ISO/IEC27004:2016。

3.3 設計績效測量方法

接下來應定義每個指標，包括測量指標基本信息、測度信息、導出測度說明、測量值說明、容忍度和期望等內容。以GB/T 31495.2—2015的ZB10關鍵IT設備國產化指標為例，其指標設計見表1[3]。

表1 信息安全績效指標測量體系設計實例Tab.1 An example of information security performance indicator measurement system design測量指標指標名稱關鍵IT設備國產化指標測量目標合規目標,促進組織關鍵IT設備國產化符合公安部要求測量頻率每年1次,第二季度實施測量對象資產登記表屬性所采購關鍵IT設備的國產化情況備注關鍵IT設備國產化指標主要考察操作系統、數據庫、服務器、核心通信設備等的國產率基本測度說明基本測度1)國產設備的采購總額;2)所有設備的采購總額測量方法1)查看國產設備的采購總額;2)查看所有設備的采購總額測量方法類型客觀類標度從0到無窮大的整數測量單位萬元導出測度說明導出測度—測量函數—測量值說明測量值關鍵IT設備國產化率分析模型將國產設備的采購總額除以所有設備的采購總額乘以100%決策準則說明決策準則測量值宜大于或等于90%測量結果指標值1)當測量值>90%時,指標ZB10的值為1;2)當測量值≤90%時,指標ZB10的值=測量值/90%

注：本表在GB/T 31495.2—2015基礎上，結合作者的設計思路進行了適當調整。

3.4 確定指標責任主體

信息安全是“一把手工程”，責任主體應該包括組織信息安全相關的高級管理層。如果高級管理層對信息安全不重視，信息安全工作很難在組織內部推進實施。信息安全是“三分技術七分管理”，責任主體應包括信息安全管理和信息安全技術相關崗位。信息安全是“全員工程”，責任主體應包括組織全體員工，必要時應涉及第三方人員。

指標設計完成后，應將指標分配給不同的責任主體。根據指標的責任歸屬將責任分配給治理層、管理層和執行層，每個層級承擔不同的責任。因每個組織的架構層級、崗位設計、匯報關系不同，分配方法也不盡一樣。結合生產安全相關法律法規，可以對責任主體按表2方式劃分。

表2 責任主題設計實例Tab.2 An example of responsibility subject design標識責任層級責任類型對應崗位名稱■□公司領導主要領導責任信息安全分管領導,如副行長主要領導責任首席信息安全官▲△部門領導直接管理責任開發、測試、運維、建設等部門負責人直接管理責任數據中心、測試中心等中心負責人◆崗位人員直接責任指標相關各責任崗位

以GB/T 31495.2—2015的ZB10關鍵IT設備國產化指標為例，責任主體矩陣見表3。

3.5 溝通、評審與簽發

完成上述四個步驟后，信息安全績效測量體系基本形成，接下來應與相關部門進行必要的溝通，促使績效指標責任主體對指標的理解和認同，并取得相關層級領導的批準。

3.6 績效指標改進

信息安全管理部門應制定績效改進計劃。可以根據相關責任主體對績效指標的接受程度，視情況進行試運行或直接正式運行，并根據責任主體反饋的情況進行持續改進。

4 結束語

信息安全績效管理是組織績效管理的重要組織部分，本文重點研究了信息安全績效測量體系的設計方法，分享設計經驗。本文并未對信息安全績效管理的生命周期的其他環節進行闡述。讀者可結合自身組織的情況設計信息安全績效測量體系。基于批準的信息安全績效測量體系，績效管理部門日常應對責任主體實施績效輔導和溝通，定期實施績效考評，并將考評結果集成到組織的績效管理體系中，與獎懲、晉升、加薪等掛鉤，形成閉環并持續改進，績效測量體系才能發揮作用。