风险咨询服务
•软件安全开发度量模型解析 •信息科技风险管理咨询 •信息科技风险全面审计咨询 •金融行业电子银行安全风险评估服务 •关键信息基础设施用户单位风险评估服务 •信息安全风险管理及流程优化 •信息安全风险审计及合规检查咨询 •数据全生命周期防护咨询 •等级保护咨询及服务 •IT多管理体系融合咨询 •信息安全有效性测量咨询 •IT风险管理整体规划咨询
认证咨询服务
•TISAX——可信信息安全评估交换 •ISO27001管理体系咨询 •ISO22301管理体系咨询 •ISO20000管理体系咨询 •安全运维服务资质咨询服务 •软件安全开发服务资质咨询服务 •风险评估服务资质咨询服务 •应急处理服务资质咨询服务 •信息系统灾难备份与恢复服务资质咨询服务 •信息系统安全集成服务资质咨询服务 •PCI-DSS评估及认证咨询
安全培训服务
•CISAW 信息安全保障人员认证体系（总则） •CISAW之信息系统安全集成人员认证课程介绍 •CISAW之信息系统安全运维人员认证课程介绍 •CISAW之信息安全风险管理人员认证课程介绍 •CISAW之软件安全开发保障人员认证课程介绍 •CISAW之预备级人员认证课程介绍 •企业信息安全意识培训解决方案
安全技术服务
•信息系统生命周期安全基线技术评估服务 •信息安全代码安全审计技术评估服务 •网络信息系统渗透性测试安全评估
IT-GRC风险管理平台
•安瑞思检查管理 •安瑞思培训管理 •安瑞思合规管理 •安瑞思风险管理 •安瑞思制度管理 •安瑞思软件整体解决方案

信息安全度量咨询

来源：发布日期：2015.02.09 点击量：

1. 信息安全度量的定义

1.1什么是度量

在物理和数学领域，度量的定义为“用拓扑空间的二值函数，给出空间中任意两点之间距离的值，或者是用于分析的距离的近似值。”我们可以认为，“几乎任何量化问题空间并得出值的情况，都可能看作是度量”。传统的企业管理领域有一条准则——不能测量的东西就不能管理；这条准则也同样适用于信息安全管理领域。

1.2什么是信息安全度量
行业的实践经验表明，企业在完成了网络安全架构和安全管理建设的基础建设之后，常常会遇上安全管理落地难、检查难的问题。安全内控度量则是针对此问题的解决方案。

信息安全内控度量可以理解为在企业内部信息安全管理中通过采用系统的、量化的、有效的手段对信息安全管理的现状进行测量和评价，从而发现潜在的安全控制弱点，切实推动安全管理规范的落地，持续提升组织的信息安全管理水平。

2. 信息安全度量体系建设意义

2.1 度量的优势

以往对信息安全管理情况的评价大多采用定性评价，定性评价的优点在于能够对无法量化的制度建设、流程控制、日常操作等方面进行一个较为客观的评价，但定性评价的缺点也很明显，由于无法对评价结果进行量化，只能人为的对评价结果进行大致分级，这就有可能因为评价者自身的不足影响评价的客观性和准确性。信息安全内控度量正是要解决这种问题，通过大量可量化的、具有代表性的指标对信息安全管理情况进行量化的分析和评价。

2.2 安全度量的必要性

2.3 度量和审计的差异与关联
比较项审计度量
发起方内部／外部内部
关注重点合规性包括但不限于合规性
活动持续时间阶段周期／持续
评价方式定性为主定量为主
产出物审计报告安全管理绩效

3. 实施方法论和依据

3.1 信息安全内控度量体系理论支持

任何体系的构建都需要相应的标准及理论支持，信息安全度量作为评价信息安全管理的重要手段之一也不例外，国际上已经有了一些较为成熟的体系及标准为度量体系的建设提供支持，Cobit和ISO27004就是最为典型的两个。作为IT治理框架，Cobit提供了一个IT管理框架以及配套的支撑工具集，这些都是为了帮助管理者通过IT过程管理IT资源实现IT目标满足业务需求。Cobit建立了一个包含7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标的IT管理框架，通过控制度、度量、标准三个纬度来度量IT过程能力。ISO27004作为ISO27000系列中的一个重要组成部分，对信息安全度量目标、度量项、度量过程、度量值乃至度量实施都给出了指引。

3.2 内控度量的PDCA

PDCA就是业界公认的信息安全管理方法论，遵循计划（Plan）、实施（Do）、检查（Check）、改进（Action）相结合的闭环机制，可以有效的为各类安全管理活动提供支持。如下图所示，采用PDCA的循环机制，通过度量体系设计、度量实施、度量结果分析、输出、度量改进这四大环节，可以建立持续改进的信息安全管理机制。

3.3 安言的PROC方法论

作为信息安全咨询提供者，安言咨询在以ISO27001认证为代表的信息安全管理体系建设方面经历了长期的实践，积累了丰富的经验。在帮助企业建立符合自身需求的信息安全内控度量体系上，安言咨询的方法论体现为PROC过程模型，这个过程模型是对经典的PDCA管理模式的具体实现，更具有针对性和可实施性。

PROC（Preparation，Realization，Operation，Certification）模型如下图所示。

PROC模式将整个信息安全内控度量体系建设项目划分成四个大的阶段，每个阶段又包含相应的工作子项，每项工作均具有前后关联，只要能够按照规划顺利开展各阶段工作，最终就能建立起有效的信息安全内控度量体系，实现信息安全管理工作的客观、量化、有效评价。各阶段具体工作如下：

准备阶段（Preparation）：在准备阶段，项目小组要对信息安全内控度量体系的实施做好预备工作，明确度量体系实施范围，提供相关资源，建立总体的安全管理方针，进行现状调研，了解并分析信息安全现状，明确风险问题和由此带来的具体需求。

实现阶段（Realization）：在实现阶段，项目小组要组织相关资源，依据前期现状调研和现状分析结果开展度量体系设计和实现工作，为好计划，同时编写、测试、修订并完善内控度量体系运行所需各类文件。

运行阶段（Operation）：信息安全内控度量体系建立起来之后，要通过一定时间的试运行来检验其有效性和可操作性性。在此阶段，应该培训专门人员，建立起内部度量机制，通过例行检查、专项检查等各类检查活动，来检查已建立的度量体系是否符合企业评估自身安全管理的要求。

验证阶段（Certification）：经过一定时间运行，内控度量体系达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行项目验收。

3.4 信息安全内控度量体系设计依据

度量体系的设计需要参考企业内部和外部管理要求，行业标准、法律法规、监管机构发文等都可以作为参考，一般包含以下三类文件：

内部安全制度：企业内部发布的各类安全管理制度

国内法律法规及监管机构要求：各类国家标准（GB50174-2000、等级保护等）、《银行业金融机构信息科技风险管理指引》等

国际标准、行业最佳实践：ISO27001、ISO27002、ISO 27004、Cobit、ITIL等

分享到：

相关客户案例：