ISO IEC 270042009信息安全測(cè)量中文版

1、信息技術(shù)安全技術(shù)信息安全管理測(cè)量27004 N6614 (FCD)標(biāo)準(zhǔn)草案目錄0 介紹40.1 概述40.2 管理層概述41 范圍52 規(guī)范性引用53 術(shù)語和定義54 本標(biāo)準(zhǔn)的結(jié)構(gòu)95 信息安全測(cè)量概述95.1 信息安全目標(biāo)95.2 信息安全測(cè)量項(xiàng)目105.3 信息安全測(cè)量模型125.3.1 基本測(cè)度和測(cè)量方法135.3.2 導(dǎo)出測(cè)度和測(cè)量函數(shù)135.3.3 指標(biāo)和分析模型145.3.4 測(cè)量結(jié)果和決策準(zhǔn)則156. 管理職責(zé)156.1 概述156.2 資源管理166.3 測(cè)量培訓(xùn)，意識(shí)和能力167. 測(cè)度和測(cè)量開發(fā)167.1 概述167.2 測(cè)量范圍識(shí)別167.3 信息需要識(shí)別177.4 對(duì)象

2、識(shí)別187.5 測(cè)量開發(fā)和選擇187.5.1 測(cè)量方法187.5.2 測(cè)量函數(shù)197.5.3 利益相關(guān)方197.5.4 屬性選擇和評(píng)審197.5.5 分析模型207.5.6 指標(biāo)和報(bào)告格式207.5.7 決策準(zhǔn)則207.6 測(cè)度證實(shí)217.7 數(shù)據(jù)收集、分析和報(bào)告217.8 記錄228. 測(cè)量運(yùn)行228.1 概述228.2 規(guī)程整合228.3 數(shù)據(jù)收集和處理239. 測(cè)量分析和報(bào)告239.1 概述239.2 分析數(shù)據(jù)和產(chǎn)生測(cè)量結(jié)果239.3 溝通結(jié)果2410. 測(cè)量項(xiàng)目評(píng)價(jià)和改進(jìn)2510.1 概述2510.2 識(shí)別測(cè)量項(xiàng)目的評(píng)價(jià)準(zhǔn)則2510.3 監(jiān)控、評(píng)審與評(píng)價(jià)測(cè)量項(xiàng)目2610.4 實(shí)施改進(jìn)2

3、6附錄A（資料性附錄） 信息安全測(cè)量模板27附錄B（資料性附錄） 測(cè)度范例29參考文獻(xiàn)310 介紹0.1 概述本國(guó)際標(biāo)準(zhǔn)就測(cè)度和測(cè)量的開發(fā)和使用提供了指南和建議，以評(píng)估信息安全管理體系（ISMS）的有效性，包括ISO/IEC 27001中用來實(shí)施和管理信息安全的ISMS策略、控制目標(biāo)和安全控制措施。通過使用信息安全測(cè)度，組織能識(shí)別現(xiàn)有信息安全管理體系的充分性，包括策略、風(fēng)險(xiǎn)管理、控制目標(biāo)、控制措施、過程和規(guī)程，并支持組織進(jìn)行過程的修訂，決定哪些ISMS過程或控制措施應(yīng)該變更和改進(jìn)。對(duì)該方法的實(shí)施組成了一個(gè)信息安全測(cè)量項(xiàng)目。信息安全測(cè)量項(xiàng)目將幫助管理層識(shí)別和評(píng)價(jià)不符合和無效的控制措施，以及排列與

4、這些控制措施改進(jìn)或變更相關(guān)行動(dòng)的優(yōu)先次序。測(cè)量項(xiàng)目也能幫助組織展示與ISO/IEC 27001標(biāo)準(zhǔn)的符合程度，并能產(chǎn)生管理評(píng)審過程的輸入。對(duì)信息安全測(cè)量項(xiàng)目的實(shí)施，應(yīng)該優(yōu)先保證向利益相關(guān)方提供了關(guān)于各種最嚴(yán)重（或是最高優(yōu)先級(jí)別）風(fēng)險(xiǎn)及其處置/控制措施狀態(tài)的可靠信息。本國(guó)際標(biāo)準(zhǔn)假定開發(fā)測(cè)量的起點(diǎn)是對(duì)組織和利益相關(guān)方所面臨信息安全風(fēng)險(xiǎn)的充分理解，并且風(fēng)險(xiǎn)評(píng)估過程已經(jīng)按照ISO/IEC 27001要求得到了正確地實(shí)施。一個(gè)有效的信息安全測(cè)量項(xiàng)目應(yīng)改進(jìn)利益相關(guān)方對(duì)可提供狀態(tài)信息的各種測(cè)量的信心，并使利益相關(guān)方能使用這些測(cè)量有效持續(xù)改進(jìn)信息安全和信息安全管理體系。本國(guó)際標(biāo)準(zhǔn)的使用能夠支持對(duì)一段時(shí)間內(nèi)信息

5、安全目標(biāo)達(dá)成情況的比較，以作為組織信息安全管理體系持續(xù)改進(jìn)過程的一部分。本指南包括：a) 開發(fā)測(cè)度；b) 實(shí)施和運(yùn)行一個(gè)信息安全測(cè)量項(xiàng)目；c) 向利益相關(guān)方收集、分析和溝通測(cè)度；d) 使用所收集的測(cè)度來幫助信息安全管理體系的相關(guān)決策；e) 使用所收集的測(cè)度來有效改進(jìn)信息安全管理體系的控制目標(biāo)和控制措施；f) 促進(jìn)信息安全測(cè)量項(xiàng)目的持續(xù)改進(jìn)。本國(guó)際標(biāo)準(zhǔn)提供了模板，可能對(duì)測(cè)量的管理有所幫助。0.2 管理層概述ISO/IEC 27001 要求管理層“定義怎樣測(cè)量所選擇的一個(gè)或一組控制措施的有效性，并指明這些測(cè)度是怎樣被用來評(píng)估控制措施有效性，以產(chǎn)生可比較和可再現(xiàn)的結(jié)果?！惫J(rèn)地，根據(jù)多種因素，包括風(fēng)

6、險(xiǎn)暴露、規(guī)模、資源可用性、能力、行為和部門需求的不同，被組織采用來測(cè)量控制措施有效性的方法也有所不同。仔細(xì)地選擇和證明所使用的方法是很重要的，這可以保證過多的資源不被投入到信息安全管理體系中某個(gè)方面，從而損害到其它必要的領(lǐng)域。明智地，應(yīng)該將控制措施有效性測(cè)量納入到組織的日常運(yùn)作中，包括最小的附加資源需求，以滿足對(duì)測(cè)量的持續(xù)需求。對(duì)所有組織來說，基本規(guī)程的要求已概括在0.1（指南列表）中。然而，某個(gè)因素（如系統(tǒng)規(guī)模）可能影響組織測(cè)量控制措施有效性。一般而言，業(yè)務(wù)的規(guī)模和復(fù)雜度，及其與信息安全重要性的組合，將影響所需測(cè)量的擴(kuò)展程度，無論是測(cè)度數(shù)量還是測(cè)量頻度。中小企業(yè)可以實(shí)施基本理解意義上的信息安

7、全測(cè)量項(xiàng)目，而大企業(yè)則可能多個(gè)信息安全測(cè)量項(xiàng)目。在初始實(shí)施和適當(dāng)改進(jìn)措施被實(shí)施后，整個(gè)測(cè)量過程應(yīng)該被評(píng)審。本國(guó)際標(biāo)準(zhǔn)的使用將提供適當(dāng)?shù)奈臋n和支持，這將有助于展示控制措施有效性正在被測(cè)量和評(píng)估。1 范圍本國(guó)際標(biāo)準(zhǔn)為開發(fā)和使用測(cè)量提供了指南，以評(píng)估ISO/IEC 27001中所描述的信息安全管理體系（ISMS）過程、控制目標(biāo)以及控制措施的有效性。本國(guó)際標(biāo)準(zhǔn)適用于任何類型和規(guī)模的組織。2 規(guī)范性引用以下的引用文檔對(duì)本文的應(yīng)用是不可缺少的。對(duì)那些標(biāo)有日期的引用，只有該引用的版本才適用。對(duì)于沒有標(biāo)日期的引用，應(yīng)使用最新版本（包括任何修正文檔）。l ISO/IEC 27001，信息技術(shù)安全技術(shù)信息安全管理

8、體系要求3 術(shù)語和定義以下術(shù)語和定義適用于本標(biāo)準(zhǔn)：3.1測(cè)量分析模型 analytical model for measurement分析模型 analytical model將一個(gè)或多個(gè)基本測(cè)度和/或?qū)С鰷y(cè)度與相關(guān)決策準(zhǔn)則組合在一起的算法或計(jì)算。3.2屬性 attribute 可由人或自動(dòng)化工具定量或定性辨別的實(shí)體特征或特性。ISO/IEC 15939:20073.3基本測(cè)度 base measure 用某個(gè)屬性及其量化方法定義的測(cè)度。ISO/IEC 15939:2007注1：一個(gè)基本測(cè)度在功能上獨(dú)立于其它測(cè)度。3.4控制措施 control管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)

9、構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的。ISO/IEC 27002:2005注：控制措施也用于防護(hù)措施或?qū)Σ叩耐x詞。3.5數(shù)據(jù) data 賦予基本測(cè)度、導(dǎo)出測(cè)度和（或）指標(biāo)的值的集合。ISO/IEC 15939:20073.6決策準(zhǔn)則 decision criteria 用于確定是否需要行動(dòng)或進(jìn)一步調(diào)查的，或者用于描述給定結(jié)果置信度的閾值、目標(biāo)或模式。ISO/IEC 15939:20073.7導(dǎo)出測(cè)度 derived measure 定義為兩個(gè)或兩個(gè)以上基本測(cè)度的函數(shù)的測(cè)度。ISO/IEC 15939:20073.8指標(biāo) indicator 對(duì)由規(guī)定信息需要的相關(guān)模型導(dǎo)出的指定屬性提供

10、估算或評(píng)價(jià)的測(cè)度。ISO/IEC 15939:20073.9信息需要 information need 為管理目標(biāo)、目的、風(fēng)險(xiǎn)和問題所必需的見解。ISO/IEC 15939:20073.10信息安全管理體系 information security management system (ISMS) 整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)控、核查、維持和改進(jìn)信息安全I(xiàn)SO/IEC 27001: 2005。注：管理系統(tǒng)包括組織結(jié)構(gòu)，策略，計(jì)劃活動(dòng)，責(zé)任，實(shí)踐，規(guī)程，過程和資源。3.11ISMS有效性 ISMS effectiveness信息安全活動(dòng)滿足組織目標(biāo)的程度。注：在本

11、標(biāo)準(zhǔn)中，效率僅關(guān)注于控制措施的有效性。3.12測(cè)度 Measure 一個(gè)變量，該變量被賦值，作為執(zhí)行一次測(cè)量的結(jié)果。ISO/IEC 15939:2007注：術(shù)語”measures” 用來指基本測(cè)度、導(dǎo)出測(cè)度，以及指標(biāo)。3.13測(cè)量 measurement 一個(gè)過程，包括信息安全管理體系和用以實(shí)現(xiàn)控制目標(biāo)的控制措施的有效性，以及信息安全管理體系各過程性能相關(guān)信息的獲取，以及測(cè)量方法、測(cè)量函數(shù)、測(cè)量模型及測(cè)量準(zhǔn)則的使用。3.14測(cè)量函數(shù) measurement function 為組合兩個(gè)或兩個(gè)以上基本測(cè)度而執(zhí)行的算法或計(jì)算。ISO/IEC 15939:20073.15測(cè)量方法 measureme

12、nt method 一般地描述為，用于以指定的標(biāo)度量化屬性的邏輯操作序列。ISO/IEC 15939:2007 注：測(cè)量方法類型取決于用來量化屬性的操作的性質(zhì)?？煞譃閮煞N類型：主觀類涉及人為判斷的量化；客觀類基于數(shù)字規(guī)則的量化。3.16測(cè)量結(jié)果 measurement results 針對(duì)信息安全需求的一個(gè)或多個(gè)指標(biāo)及其相關(guān)的解釋。3.17對(duì)象 object一個(gè)對(duì)象通過對(duì)其屬性的測(cè)量得以識(shí)別3.18標(biāo)度 scale 一組有序的連續(xù)或離散值，或與屬性映射的類目。ISO/IEC 15939:2007 注：標(biāo)度類型取決于標(biāo)度值間關(guān)系的性質(zhì)，通常定義四種類型的標(biāo)度：標(biāo)稱標(biāo)度測(cè)量值是類目；順序標(biāo)度測(cè)量值

13、是隊(duì)列；間隔標(biāo)度測(cè)量值的等距與屬性的等量對(duì)應(yīng)；比率標(biāo)度測(cè)量值的等距與屬性的等量對(duì)應(yīng)，其中零值對(duì)應(yīng)于無屬性。3.19測(cè)量單位 unit of measurement按約定定義和采用的具體量，其他同類量與這個(gè)量進(jìn)行比較，用以表示它們相對(duì)于這個(gè)量的大小。ISO/IEC 15939:20073.20確認(rèn)證實(shí) validation通過提供客觀證據(jù)，證實(shí)對(duì)某個(gè)有意使用或應(yīng)用的需求已經(jīng)得到滿足。3.21驗(yàn)證 verification通過提供客觀證據(jù)，證實(shí)特定的要求已經(jīng)得到滿足。注：也稱為符合性測(cè)試4 本標(biāo)準(zhǔn)的結(jié)構(gòu)除了為開發(fā)和使用測(cè)量提供了指南，以評(píng)估ISO/IEC 27001中所描述的信息安全管理體系（IS

14、MS）過程、控制目標(biāo)以及控制措施的有效性外，本國(guó)際標(biāo)準(zhǔn)還提供了對(duì)測(cè)量過程及其活動(dòng)的描述。對(duì)信息安全測(cè)量項(xiàng)目及其模型的概述和背景信息見第5節(jié)。管理職責(zé)見第6節(jié)。第7節(jié)到第10節(jié)描述了測(cè)量項(xiàng)目中的各過程（詳見5.2）。如何開發(fā)和記錄測(cè)量的附加信息見附錄。附錄A提供了測(cè)量模板的范例，附錄B提供了使用附錄A中模板的測(cè)量范例。5 信息安全測(cè)量概述5.1 信息安全目標(biāo)在信息安全管理體系背景下，測(cè)量項(xiàng)目的目標(biāo)可以包括：a) 評(píng)價(jià)所實(shí)施信息安全控制目標(biāo)和控制措施的有效性；b) 評(píng)價(jià)信息安全管理體系有效性，包括持續(xù)改進(jìn)循環(huán)；c) 基于組織整體業(yè)務(wù)風(fēng)險(xiǎn)，促進(jìn)信息安全的性能改進(jìn)；d) 提供客觀數(shù)據(jù)和分析，來幫助管理

15、評(píng)審、輔助決策，以及向管理層證明控制措施的改進(jìn)；e) 為安全審核提供輸入；f) 向相關(guān)的利益相關(guān)方溝通信息安全的有效性；g) 作為風(fēng)險(xiǎn)管理過程的輸入；h) 為對(duì)有效性的內(nèi)部比較和內(nèi)部打分提供信息；以及i) 支持對(duì)所識(shí)別安全需求滿足到何種程度的驗(yàn)證。一個(gè)特定組織的測(cè)量項(xiàng)目應(yīng)當(dāng)基于大量的考慮，包括：a) 在支持組織整體業(yè)務(wù)活動(dòng)和所面臨的風(fēng)險(xiǎn)方面，信息安全所扮演的角色；b) 基于客觀測(cè)量的持續(xù)改進(jìn)；c) 適用的法律、規(guī)章，以及合同要求；d) 組織的架構(gòu)；e) 實(shí)施信息安全測(cè)量的成本和收益；以及f) 組織對(duì)風(fēng)險(xiǎn)的接受態(tài)度。圖1 解釋了與ISO/IEC 27001中描述的PDCA循環(huán)相比，測(cè)量活動(dòng)的輸入

16、輸入循環(huán)關(guān)系。圖1 PDCA循環(huán)中的測(cè)量輸入與輸出為了達(dá)到信息安全測(cè)量所建立的目標(biāo)，并在所有測(cè)量活動(dòng)中實(shí)施PDCA循環(huán)，組織應(yīng)該建立并管理一個(gè)信息安全測(cè)項(xiàng)目（見5.2）。為獲得基于信息安全測(cè)量模型（見5.3）的可重復(fù)的、客觀的和有用的結(jié)果，組織還應(yīng)建立一個(gè)測(cè)量活動(dòng)框架。5.2 信息安全測(cè)量項(xiàng)目一個(gè)信息安全測(cè)量項(xiàng)目通過使用測(cè)度，識(shí)別和評(píng)價(jià)信息安全管理體系的充分性和有效性，并對(duì)改進(jìn)現(xiàn)有控制措施和整體信息安全管理體系的需求進(jìn)行識(shí)別。為了策劃和組織多種和大量的測(cè)量，并為在一個(gè)指定的時(shí)間段和/或時(shí)期內(nèi)有效和高效地執(zhí)行測(cè)量提供資源，一個(gè)測(cè)量項(xiàng)目包括了所有必要的活動(dòng)。組織可以建立一個(gè)以上的測(cè)量項(xiàng)目。管理層應(yīng)

17、該為測(cè)量項(xiàng)目建立角色和職責(zé)。一個(gè)測(cè)量項(xiàng)目應(yīng)包括以下過程：a) 測(cè)度和測(cè)量的開發(fā)（見第7節(jié)）；b) 測(cè)量的運(yùn)行（見第8節(jié)）；c) 測(cè)度的分析和報(bào)告（見第9節(jié)）；以及d) 測(cè)量項(xiàng)目改進(jìn)（見第10節(jié)）。圖2展示了測(cè)量項(xiàng)目管理的過程流。圖2 測(cè)量項(xiàng)目管理過程流示意圖通過測(cè)量的使用信息安全測(cè)量項(xiàng)目的一個(gè)關(guān)鍵元素，可以對(duì)現(xiàn)有控制措施和過程進(jìn)行評(píng)價(jià)來確定這些控制措施和過程是否充分和有效，或是這些控制措施和過程是否需要被改進(jìn)或變更，從而改進(jìn)整個(gè)信息安全管理體系。為了成功達(dá)成信息安全管理體系的持續(xù)改進(jìn)，信息安全測(cè)量項(xiàng)目應(yīng)當(dāng)考慮，例如，以下要素的適當(dāng)組合：a) 管理層的承諾并有適當(dāng)資源支持；b) 信息安全管理體系

18、各過程和規(guī)程的存在；c) 能夠捕獲和報(bào)告有意義數(shù)據(jù)的過程；d) 基于信息安全管理體系目標(biāo)的定量安全測(cè)度；e) 易于獲取和測(cè)量的定量安全測(cè)度；f) 一個(gè)可重復(fù)的過程，以提供一段時(shí)間的相關(guān)趨勢(shì)；g) 一個(gè)有用的追蹤過程，以支持有效地調(diào)配資源；h) 以一種有意義的方式，一致、定期地收集、分析和報(bào)告測(cè)量數(shù)據(jù)；i) 利益相關(guān)方使用信息安全管理體系測(cè)量結(jié)果，來改進(jìn)現(xiàn)有信息安全管理體系過程和控制措施的有效性；j) 一個(gè)反饋環(huán)，以支持整體改進(jìn)；k) 對(duì)所產(chǎn)生結(jié)果有用性的評(píng)價(jià)；以及l(fā)) 風(fēng)險(xiǎn)管理過程的輸入機(jī)制，來輔助對(duì)控制措施選擇、實(shí)施以及資源分配的優(yōu)先順序。一旦成功實(shí)施，信息安全測(cè)量項(xiàng)目能：a) 展示組織與適

19、用法律、法規(guī)、規(guī)章的符合性；b) 支持對(duì)以前未檢測(cè)到的未知信息安全因素的識(shí)別；c) 當(dāng)描述歷史和當(dāng)前活動(dòng)的測(cè)量時(shí)，有助于滿足向管理層的報(bào)告需求；以及d) 被用作信息安全管理體系內(nèi)審和管理評(píng)審的輸入。5.3 信息安全測(cè)量模型信息安全測(cè)量模型將單個(gè)的簡(jiǎn)單測(cè)度納入更復(fù)雜的組合測(cè)度，從而提供全面的和一致的測(cè)量結(jié)果，可以不斷重復(fù)地用于基準(zhǔn)測(cè)試和比較。圖3中描述了一個(gè)信息安全測(cè)量模型。通過應(yīng)用該模型所開發(fā)的測(cè)量范例見附錄B。圖3 信息安全測(cè)量模型以下各子節(jié)將使用這樣一個(gè)范例來描述模型中的各元素：策略要求所有員工在被授權(quán)訪問信息系統(tǒng)前，應(yīng)被適當(dāng)告知信息處理的規(guī)則。兩個(gè)控制措施被定義來實(shí)施該策略：a) 所有員

20、工在被授權(quán)訪問信息系統(tǒng)前，必須簽署用戶協(xié)議；以及b) 所有員工在被授權(quán)訪問信息系統(tǒng)前，必須接受信息安全意識(shí)培訓(xùn)。5.3.1 基本測(cè)度和測(cè)量方法一個(gè)測(cè)量對(duì)象可能會(huì)有多個(gè)屬性，只有這些屬性中的一些為基本測(cè)度提供輸入是有用的。對(duì)測(cè)量對(duì)象的各種屬性應(yīng)用測(cè)量方法，得到基本測(cè)度。一個(gè)給定的屬性可被用在多個(gè)不同的測(cè)量上。一個(gè)測(cè)量方法是用于以指定的標(biāo)度量化屬性的邏輯操作序列。測(cè)量方法可以通過各類資源使用測(cè)量對(duì)象的數(shù)據(jù)，例如：a)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析結(jié)果；b)調(diào)查表和個(gè)人面談；c)內(nèi)部或外部審計(jì)報(bào)告；d)事件記錄，如日志、報(bào)表統(tǒng)計(jì)、審計(jì)軌跡等；e)事故報(bào)告，尤其是那些造成影響發(fā)生的事故；f)測(cè)試結(jié)果，如滲透性測(cè)試

21、、社交工程、符合性工具和安全審計(jì)工具；以及g)信息安全意識(shí)培訓(xùn)結(jié)果。表1包含一個(gè)范例，說明測(cè)量對(duì)象、屬性、測(cè)量方法和基本測(cè)度之間的關(guān)系。測(cè)量對(duì)象屬性測(cè)量方法基本測(cè)度員工安全意識(shí)過程員工數(shù)據(jù)庫中的員工記錄中的個(gè)人字段1) 數(shù)據(jù)庫查詢，獲取已接受意識(shí)培訓(xùn)的員工數(shù)。2) 數(shù)據(jù)庫查詢，獲取已簽署用戶協(xié)議的員工數(shù)。3) 數(shù)據(jù)庫查詢，獲取已接受意識(shí)培訓(xùn)并已簽署用戶協(xié)議的員工數(shù)。4) 數(shù)據(jù)庫查詢，獲取全體員工數(shù)。1) 接受安全意識(shí)培訓(xùn)的員工數(shù)。2) 簽署用戶協(xié)議的員工數(shù)。3) 接受安全意識(shí)培訓(xùn)并簽署用戶協(xié)議的員工數(shù)。4) 員工總數(shù)。5.3.2 導(dǎo)出測(cè)度和測(cè)量函數(shù)導(dǎo)出測(cè)度通過對(duì)一個(gè)或多個(gè)基本測(cè)度應(yīng)用測(cè)量函數(shù)來

22、定義。一個(gè)給定的基本測(cè)度可能被用作多個(gè)導(dǎo)出測(cè)度的輸入。一個(gè)測(cè)量函數(shù)是為組合兩個(gè)或兩個(gè)以上基本測(cè)度而執(zhí)行的算法或計(jì)算，定義了這些基本測(cè)度如何被聚合到一個(gè)導(dǎo)出測(cè)度。導(dǎo)出測(cè)度的標(biāo)度和單位依賴于其各組成基本測(cè)度的標(biāo)度和單位，以及組合函數(shù)。測(cè)量函數(shù)可能會(huì)包括多種不同的技術(shù)，如對(duì)所有基本測(cè)度取平均值，對(duì)基本測(cè)度應(yīng)用權(quán)重，或?qū)⑺鼈冑x予定性值。測(cè)量函數(shù)可能會(huì)使用不同標(biāo)度來組合各基本測(cè)度，如百分比和定性評(píng)估結(jié)果。表2包含一個(gè)范例，說明基本測(cè)度、測(cè)量函數(shù)和導(dǎo)出測(cè)度之間的關(guān)系?；緶y(cè)度測(cè)量函數(shù)導(dǎo)出測(cè)度1) 接受安全意識(shí)培訓(xùn)，并簽署用戶協(xié)議的員工數(shù)。2) 簽署用戶協(xié)議的員工數(shù)。3) 員工總數(shù)。1) 將接受安全意識(shí)培訓(xùn)

23、，并簽署用戶協(xié)議的員工數(shù)除以員工總數(shù)，乘以100%。2) 將簽署用戶協(xié)議的員工數(shù)除以員工總數(shù)，乘以100%。1) 接受安全意識(shí)和培訓(xùn)，并簽署用戶協(xié)議的員工百分比。2) 簽署用戶協(xié)議的員工百分比。5.3.3 指標(biāo)和分析模型通過對(duì)導(dǎo)出測(cè)度應(yīng)用分析模型，獲得指標(biāo)。分析模型是將一個(gè)或多個(gè)基本測(cè)度和/或?qū)С鰷y(cè)度與相關(guān)決策準(zhǔn)則組合在一起的算法或計(jì)算（見表3）。指標(biāo)是對(duì)由規(guī)定信息需要的相關(guān)模型導(dǎo)出的指定屬性提供估算或評(píng)價(jià)的測(cè)度。標(biāo)度和測(cè)量方法會(huì)影響產(chǎn)生指標(biāo)的分析技術(shù)的選擇。表3包含一個(gè)范例，說明導(dǎo)出測(cè)度、分析模型和指標(biāo)之間的關(guān)系。導(dǎo)出測(cè)度分析模型指標(biāo)1) 接受安全意識(shí)培訓(xùn)，并簽署用戶協(xié)議的員工百分比。2)

24、簽署用戶協(xié)議的員工百分比。X已定義的組織可接受的策略符合性閾值。指標(biāo)值假設(shè)為“粗體”。如果X的用戶簽署了用戶協(xié)議，指標(biāo)值變?yōu)椤靶斌w”。如果X的用戶接受了安全意識(shí)培訓(xùn)并簽署了用戶協(xié)議，指標(biāo)值變?yōu)椤皹?biāo)準(zhǔn)體”。組織安全意識(shí)策略的符合性，在圖形上用粗體、斜體和標(biāo)準(zhǔn)體重新表示。注：如果使用顏色編碼，必須增強(qiáng)對(duì)顏色的描述，使用不同的陰影或不同的字體。目的為了保障視障用戶的使用，或者黑白打印的場(chǎng)合。以下章節(jié)同樣應(yīng)用。5.3.4 測(cè)量結(jié)果和決策準(zhǔn)則基于已定義的決策準(zhǔn)則，對(duì)適用的指標(biāo)進(jìn)行解釋，可以得到測(cè)量結(jié)果的評(píng)價(jià)。測(cè)量結(jié)果應(yīng)當(dāng)考慮評(píng)估信息安全管理體系過程、控制目標(biāo)、控制措施有效性的整體測(cè)量目標(biāo)。決策準(zhǔn)則是用于

25、確定是否需要行動(dòng)或進(jìn)一步調(diào)查的，或者用于描述給定結(jié)果置信度的閾值、目標(biāo)或模式。目標(biāo)是可應(yīng)用于組織整體或部分的詳細(xì)的性能規(guī)格，來自于信息安全目標(biāo)并需要被設(shè)置及達(dá)到，如信息安全管理體系目標(biāo)和控制目標(biāo)。表4包含一個(gè)范例，說明指標(biāo)、決策準(zhǔn)則和測(cè)量結(jié)果之間的關(guān)系。指標(biāo)決策準(zhǔn)則測(cè)量結(jié)果組織安全意識(shí)策略的符合性，在圖形上用粗體、斜體和標(biāo)準(zhǔn)體重新表示。標(biāo)準(zhǔn)體符合策略。斜體和粗體不符合策略。向上趨勢(shì)顯示符合性得到改進(jìn)，向下趨勢(shì)顯示符合性的惡化。傾斜角度可能提供了控制措施實(shí)施有效性的見解。任何方向的陡峭斜線顯示對(duì)控制措施的實(shí)施需要做仔細(xì)的檢查，來判斷這種情況的原因。消極趨勢(shì)可能需要管理層的干預(yù)。積極趨勢(shì)應(yīng)該進(jìn)行檢

26、查，來識(shí)別潛在的最佳實(shí)踐。符合策略不需要變更。不符合策略應(yīng)該考慮修訂（策略）。6. 管理職責(zé)6.1 概述在信息安全管理體系范圍內(nèi)，管理層負(fù)責(zé)建立信息安全測(cè)量項(xiàng)目，引入不同的利益相關(guān)方（見7.4.3），并使用測(cè)量結(jié)果來作為監(jiān)控和改進(jìn)信息安全的輸入。為此，管理層應(yīng)：a) 為信息安全項(xiàng)目建立一個(gè)策略；b) 建立信息安全項(xiàng)目的角色和職責(zé)；c) 確保信息安全項(xiàng)目目標(biāo)的達(dá)成（見5.1）；d) 提供充足的資源來執(zhí)行信息安全測(cè)量項(xiàng)目；e) 確保適當(dāng)?shù)幕A(chǔ)設(shè)施到位；f) 確保使用適當(dāng)?shù)墓ぞ邎?zhí)行測(cè)量過程；g) 建立測(cè)量結(jié)果的目標(biāo)；h) 確保測(cè)量向組織內(nèi)各利益相關(guān)方提供了充足的信息（正如7.4.3節(jié)所定義的），以有

27、效監(jiān)控各控制措施的有效性，并/或識(shí)別整體控制措施架構(gòu)的缺陷；管理層應(yīng)通過適當(dāng)分配測(cè)量相關(guān)的角色和責(zé)任，保證測(cè)量結(jié)果不受到被測(cè)量對(duì)象所有者的影響。這可能是通過職責(zé)分割，或如果這不可能，通過使用允許獨(dú)立檢查的詳細(xì)記錄來實(shí)現(xiàn)。6.2 資源管理管理層應(yīng)該分配和提供資源來支持信息安全測(cè)量的必要功能，例如數(shù)據(jù)收集、分析、存儲(chǔ)、報(bào)告和分發(fā)。資源分配應(yīng)包括以下方面的分配：a) 負(fù)責(zé)信息安全測(cè)量項(xiàng)目所有方面的人員；b) 適當(dāng)?shù)呢?cái)務(wù)支持；以及c) 適當(dāng)?shù)幕A(chǔ)設(shè)施支持，例如用于測(cè)量過程的物理基礎(chǔ)設(shè)施和工具。6.3 測(cè)量培訓(xùn)，意識(shí)和能力管理層應(yīng)保證:a) 參與測(cè)量設(shè)計(jì)和使用的所有職員在模型和項(xiàng)目上被充分培訓(xùn)，并且有適

28、當(dāng)?shù)哪芰砺男兴麄兊慕巧?；以及b) 使用測(cè)量的所有職員理解他們職責(zé)中有一部分是要為過程改進(jìn)提供建議，這可能包括建議不同的測(cè)量。7. 測(cè)度和測(cè)量開發(fā)7.1 概述本節(jié)描述了為了量化信息安全管理體系、控制目標(biāo)和控制措施的有效性，并識(shí)別針對(duì)特定利益相關(guān)方的一套測(cè)量，怎樣來開發(fā)測(cè)量。這些測(cè)量將通過提供評(píng)估信息安全管理體系有效性的多種手段，以及支持組織內(nèi)信息安全的持續(xù)改進(jìn)，進(jìn)一步加強(qiáng)信息安全管理體系的性能。7.2 測(cè)量范圍識(shí)別測(cè)量開發(fā)的過程應(yīng)該被建立和記錄，包括選擇用于測(cè)量的具體控制措施和控制目標(biāo)，識(shí)別這些對(duì)象的各種測(cè)量屬性，明確測(cè)量，并且建立數(shù)據(jù)收集、分析、報(bào)告的各種過程與工具。計(jì)劃過程應(yīng)包括識(shí)別財(cái)力、

29、人力，以及基礎(chǔ)設(shè)施（物理的和工具的）資源。管理層有責(zé)任來提供這些資源，以保證信息安全測(cè)量的成功實(shí)施。取決于組織的能力和資源，組織信息安全測(cè)量活動(dòng)的最初范圍可能會(huì)被限制在管理層給予最高優(yōu)先級(jí)的活動(dòng)、產(chǎn)品和服務(wù)上。隨著時(shí)間的推移，測(cè)量活動(dòng)的最初范圍可以擴(kuò)大來包括信息安全管理體系的更多元素。測(cè)量的利益相關(guān)方應(yīng)該被識(shí)別并參與定義測(cè)量范圍。測(cè)量的利益相關(guān)方可能是組織單位內(nèi)部或外部的，例如項(xiàng)目經(jīng)理、信息系統(tǒng)經(jīng)理或信息安全決策者。關(guān)于每個(gè)控制措施有效性的具體信息被收集、聚合、分析，并向利益相關(guān)方進(jìn)行展示。組織應(yīng)考慮在一段給定時(shí)間段內(nèi)，對(duì)供一個(gè)決策者使用的測(cè)量數(shù)量進(jìn)行限制，以保證基于所收集信息進(jìn)行有效改變的能

30、力。過多的測(cè)量可能會(huì)削弱有效集中力量和未來活動(dòng)優(yōu)先排序的能力。將被使用測(cè)量的優(yōu)先順序應(yīng)基于特定組織的準(zhǔn)則，并包括基于風(fēng)險(xiǎn)的考慮。7.3 信息需要識(shí)別每個(gè)測(cè)量應(yīng)對(duì)應(yīng)于一個(gè)信息需要。信息需要是對(duì)于哪些需要被測(cè)量的表述，關(guān)于ISMS過程、控制目標(biāo)、控制措施，以及這些過程、控制目標(biāo)、控制措施的實(shí)施。應(yīng)該通過執(zhí)行下列活動(dòng)來識(shí)別信息需要：a) 檢查信息安全管理體系及其過程，例如：1) 組織的信息安全管理體系策略、目標(biāo)、風(fēng)險(xiǎn)和安全要求；2) 法律、法規(guī)和合同的要求；3) ISO/IEC 27001標(biāo)準(zhǔn)中所描述的風(fēng)險(xiǎn)評(píng)估和處置過程的結(jié)果；4) 信息安全管理體系的有效性要求；b) 基于準(zhǔn)則對(duì)所識(shí)別的信息需要，排

31、列優(yōu)先次序，例如：1) 風(fēng)險(xiǎn)處置優(yōu)先次序；2) 組織的能力和資源；3) 利害相關(guān)方的利益；4) 信息安全策略；5) 為滿足法律、法規(guī)和合同要求所需要的信息；6) 與測(cè)量成本相關(guān)的信息的價(jià)值；c) 根據(jù)已建立的準(zhǔn)則，選擇經(jīng)過優(yōu)先排序的信息需要；以及d) 向所有相關(guān)的利害相關(guān)方，記錄和溝通已選擇的信息需要。所有適用于信息安全管理體系過程、控制目標(biāo)和控制措施或成組的控制措施的測(cè)度，應(yīng)該基于已選擇的信息需要來實(shí)施。7.4 對(duì)象識(shí)別信息安全測(cè)量能在整個(gè)背景和信息安全管理體系范圍內(nèi)，被用在不同的業(yè)務(wù)對(duì)象上。識(shí)別用于測(cè)量的對(duì)象包括：a) 考慮已建立的測(cè)量目標(biāo)；以及b) 明確這些對(duì)象的關(guān)鍵屬性，這些屬性可能會(huì)

32、提供關(guān)于控制措施和控制目標(biāo)有效性及其實(shí)施的相關(guān)信息。描述測(cè)量對(duì)象和相應(yīng)屬性的數(shù)據(jù)將被用來作為單個(gè)基本測(cè)度的輸入。測(cè)量對(duì)象包括但不限于：a) 產(chǎn)品和服務(wù)；b) 過程；c) 適用的資產(chǎn)，如ISO/IEC 27001 中所識(shí)別的各種設(shè)施、應(yīng)用程序，以及信息系統(tǒng)；d) 業(yè)務(wù)單元；e) 地理位置。測(cè)量對(duì)象應(yīng)該要仔細(xì)地選擇，以確保測(cè)量的結(jié)果是有意義的。所選擇的對(duì)象應(yīng)該和選擇的理由一起被記錄。7.5 測(cè)量開發(fā)和選擇組織應(yīng)該使用已有的各種資源，來識(shí)別和剪裁信息安全測(cè)度。每個(gè)測(cè)量應(yīng)該被詳細(xì)地開發(fā)，適合每個(gè)組織的需求，并應(yīng)至少包括：a) 測(cè)度識(shí)別；b) 測(cè)量對(duì)象和屬性；c) 基本測(cè)度；d) 導(dǎo)出測(cè)度；e) 指標(biāo)；

33、f) 數(shù)據(jù)收集規(guī)程；以及g) 數(shù)據(jù)分析規(guī)程。信息安全測(cè)量的詳細(xì)模板范例在附錄A中提供。ISO/IEC 27001控制措施子集的測(cè)量范例參見附錄B。7.5.1 測(cè)量方法對(duì)每個(gè)基本測(cè)度應(yīng)識(shí)別其測(cè)量方法。通過將屬性轉(zhuǎn)換為基本測(cè)度，測(cè)量方法被用來量化測(cè)量對(duì)象。測(cè)量方法可能是主觀的或客觀的。主觀方法含有對(duì)人的判斷的量化，而客觀方法是基于數(shù)字規(guī)則的量化，如可能通過手工或自動(dòng)化手段實(shí)施的計(jì)算。通過應(yīng)用適當(dāng)?shù)臉?biāo)度，測(cè)量方法將屬性量化成數(shù)值。每個(gè)標(biāo)度使用一個(gè)測(cè)量單位。只有以同種測(cè)量單位表達(dá)的量才能直接進(jìn)行比較。不管是手工（例如，問詢、觀察、自評(píng)估）還是自動(dòng)化測(cè)量方法都需要獨(dú)立的驗(yàn)證，以建立每個(gè)屬性值的置信度。對(duì)

34、每個(gè)測(cè)量方法，驗(yàn)證準(zhǔn)則應(yīng)被定義和記錄。應(yīng)考慮測(cè)量方法的精度，相關(guān)的錯(cuò)誤應(yīng)記錄。測(cè)量方法應(yīng)在一段時(shí)間保持一致，這樣在不同時(shí)間采取的基本測(cè)度是可比較的，并且基于這些基本測(cè)度的導(dǎo)出測(cè)度和指標(biāo)也同樣是可比較的。7.5.2 測(cè)量函數(shù)對(duì)每個(gè)導(dǎo)出測(cè)度，應(yīng)該定義一個(gè)使用兩個(gè)或兩個(gè)以上基本測(cè)度的測(cè)量函數(shù)。在某些情況下，基本測(cè)度能與導(dǎo)出測(cè)度一起作為分析模型的輸入。測(cè)量函數(shù)（如，公式）可能會(huì)包括多種不同的技術(shù)，如對(duì)所有基本測(cè)度取平均值，對(duì)基本測(cè)度應(yīng)用權(quán)重，或是在將基本測(cè)度聚合成導(dǎo)出測(cè)度前，將它們賦予定性值。測(cè)量函數(shù)可能會(huì)使用不同標(biāo)度來組合各基本測(cè)度，如百分比和定性評(píng)估結(jié)果。應(yīng)該定義一個(gè)計(jì)算每個(gè)測(cè)度的公式并記錄。應(yīng)考

35、慮由于基本測(cè)度的組合而導(dǎo)致的累積性錯(cuò)誤。7.5.3 利益相關(guān)方對(duì)于每個(gè)測(cè)量，適當(dāng)?shù)睦嫦嚓P(guān)方都應(yīng)被識(shí)別和記錄。利益相關(guān)方可能包括：a) 所有者人員或組織單位，它們擁有被用來創(chuàng)建基本測(cè)度的測(cè)量對(duì)象和屬性的相關(guān)信息，并負(fù)責(zé)測(cè)量；b) 顧客人員或組織單位，為了開展他們的業(yè)務(wù)功能而申請(qǐng)和需要測(cè)量；c) 收集者人員或組織單位，負(fù)責(zé)收集、記錄和存儲(chǔ)數(shù)據(jù)；d) 溝通者人員或組織單位，負(fù)責(zé)分析數(shù)據(jù)和報(bào)告結(jié)果；以及e) 評(píng)審者人員或組織單位，負(fù)責(zé)對(duì)測(cè)量評(píng)價(jià)準(zhǔn)則是否適當(dāng)作評(píng)審，以驗(yàn)證控制措施和信息安全管理體系過程的有效性。7.5.4 屬性選擇和評(píng)審一個(gè)測(cè)量對(duì)象可能有多個(gè)信息安全屬性。一個(gè)基本測(cè)度可能會(huì)選擇使用一個(gè)

36、或多個(gè)屬性。應(yīng)該對(duì)屬性進(jìn)行證實(shí)，以確保：a) 合適的屬性被選擇用來測(cè)量；以及b) 適當(dāng)數(shù)量的屬性已經(jīng)被選擇，以保證提供一個(gè)充分的集合來支持一個(gè)有效的測(cè)量。所選擇屬性的特征決定著何種測(cè)量方法將被使用來確定基本測(cè)度（例如，定量或定性的）。應(yīng)僅有那些與相應(yīng)基本測(cè)度有關(guān)的屬性被選擇。盡管屬性選擇應(yīng)考慮獲取測(cè)量屬性的困難程度，它不應(yīng)該只從那些易于獲取的數(shù)據(jù)，或是易于測(cè)量的屬性中選擇。7.5.5 分析模型對(duì)每個(gè)測(cè)度來說，應(yīng)該定義一個(gè)分析模型，目的是將一個(gè)或多個(gè)導(dǎo)出測(cè)度轉(zhuǎn)換為一個(gè)指標(biāo)。分析模型以某種方式組合各測(cè)度并產(chǎn)生輸出，這個(gè)輸出與信息安全管理體系策略有關(guān)，并對(duì)信息安全管理體系利益相關(guān)方有意義。注意，當(dāng)定

37、義分析模型時(shí)，應(yīng)用在指標(biāo)上的決策準(zhǔn)則也應(yīng)該被考慮。有時(shí)分析模型可以簡(jiǎn)單到只是將單個(gè)導(dǎo)出測(cè)度轉(zhuǎn)換為一個(gè)指標(biāo)。7.5.6 指標(biāo)和報(bào)告格式通過聚合各導(dǎo)出測(cè)度并基于決策準(zhǔn)則對(duì)它們進(jìn)行解釋，將產(chǎn)生指標(biāo)。對(duì)將向顧客報(bào)告的每個(gè)指標(biāo)，應(yīng)該定義并記錄一個(gè)報(bào)告格式。報(bào)告格式將可視地描述測(cè)度并提供一個(gè)指標(biāo)的言語解釋。報(bào)告格式應(yīng)該被定制，以滿足顧客的信息需要。7.5.7 決策準(zhǔn)則每個(gè)指標(biāo)對(duì)應(yīng)的決策準(zhǔn)則，應(yīng)該基于信息安全目標(biāo)來定義和記錄，從而為客戶提供可行動(dòng)的指南。該指南應(yīng)給出對(duì)測(cè)量進(jìn)展的期望以及基于指標(biāo)的啟動(dòng)改進(jìn)措施的閾值。決策準(zhǔn)則建立了一個(gè)目的，由此成功可以被測(cè)量，決策準(zhǔn)則也為解釋指標(biāo)與目的的接近程度提供了指導(dǎo)。建

38、立決策準(zhǔn)則和目的的機(jī)制與從測(cè)度得到的指標(biāo)是有區(qū)別的。需要對(duì)與信息安全管理體系過程和控制措施性能相關(guān)的各項(xiàng)目設(shè)立目的，以及目標(biāo)的達(dá)成情況，并最終對(duì)評(píng)價(jià)信息安全管理體系和控制措施的有效性。組織可能會(huì)決定等到初始數(shù)據(jù)收集到后，再為指標(biāo)設(shè)置目的。一旦基于初始數(shù)據(jù)的糾正措施被識(shí)別，就能定義適當(dāng)?shù)臎Q策準(zhǔn)則和實(shí)施里程碑，它們對(duì)特定的信息安全管理體系是現(xiàn)實(shí)的。如果不能建立決策準(zhǔn)則，管理層應(yīng)評(píng)價(jià)被測(cè)量的對(duì)象和相應(yīng)的測(cè)度是否為組織提供了所期望的價(jià)值。如果與這些測(cè)度開發(fā)或選擇相關(guān)的歷史數(shù)據(jù)存在，將有助于決策準(zhǔn)則的建立。過去所觀察到的趨勢(shì)將提供對(duì)以前存在的性能范圍的見解，并為創(chuàng)建現(xiàn)實(shí)的決策準(zhǔn)則提供指導(dǎo)。決策準(zhǔn)則可以被

39、計(jì)算或基于一個(gè)對(duì)期望行為的概念性理解。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和啟發(fā)式方法導(dǎo)出，或者從統(tǒng)計(jì)控制界限或統(tǒng)計(jì)置信界限計(jì)算得到。7.6 測(cè)度證實(shí)管理層應(yīng)對(duì)所開發(fā)的測(cè)度進(jìn)行證實(shí)，以保證所開發(fā)測(cè)度是有用并有成本效益的。下面這些準(zhǔn)則可能與決定測(cè)度是否有用并有成本效益相關(guān)：a) 戰(zhàn)略的：與組織的業(yè)務(wù)目標(biāo)和利益相關(guān)方的需求一致；b) 定量的：提供客觀和經(jīng)驗(yàn)數(shù)據(jù)；c) 解釋性的：能容納主觀輸入來幫助對(duì)數(shù)據(jù)的解釋；d) 具有成本效益：數(shù)據(jù)收集的成本應(yīng)與被測(cè)量?jī)r(jià)值相關(guān)的潛在損失相平衡；e) 可驗(yàn)證：第三方評(píng)審者應(yīng)能評(píng)估數(shù)據(jù)，并能重現(xiàn)結(jié)果；f) 有意義：數(shù)據(jù)應(yīng)提供與一段時(shí)間內(nèi)所應(yīng)用控制措施和控制目標(biāo)相關(guān)的有意義信

40、息，使得能夠?qū)ψ兏绊懟蚪Y(jié)果一致性進(jìn)行評(píng)估；g) 實(shí)用：結(jié)果應(yīng)支持使命、財(cái)務(wù)和運(yùn)行的決策；h) 不可分： 數(shù)據(jù)應(yīng)該在可能的最細(xì)、不可分解的級(jí)別下被收集；i) 良好定義：在7.5中所描述的詳細(xì)模板中記錄；以及j) 可重復(fù)：測(cè)量應(yīng)產(chǎn)生可比較和可再生的結(jié)果。7.7 數(shù)據(jù)收集、分析和報(bào)告應(yīng)該建立或剪裁測(cè)量數(shù)據(jù)收集、分析和報(bào)告的過程，如果存在這樣的過程。如果需要，還應(yīng)該建立提供支持的工具和技術(shù)。這些過程、工具和技術(shù)可以滿足以下測(cè)量相關(guān)的活動(dòng)：a) 數(shù)據(jù)收集，包括存儲(chǔ)和驗(yàn)證。規(guī)程應(yīng)詳細(xì)說明數(shù)據(jù)是如何被收集和區(qū)分的，以及這些數(shù)據(jù)將怎樣和在哪里被存儲(chǔ)。數(shù)據(jù)驗(yàn)證可能會(huì)通過審計(jì)來完成。自動(dòng)化工具能被用來支持這些規(guī)

41、程；b) 數(shù)據(jù)分析，以及測(cè)量的報(bào)告。規(guī)程應(yīng)詳細(xì)說明數(shù)據(jù)收集方法、頻率、格式，以及報(bào)告信息產(chǎn)品的方法。應(yīng)該識(shí)別哪些工具可以被用來執(zhí)行數(shù)據(jù)分析。報(bào)告格式的范例包括：a) 通過整合高級(jí)別指標(biāo)提供戰(zhàn)略信息的記分卡；b) 執(zhí)行和運(yùn)行的儀表板，不是集中在戰(zhàn)略目標(biāo)，而更關(guān)注特定控制措施和過程的有效性。儀表板可能會(huì)使用一系列的顏色來溝通結(jié)果例如，從黑色（0）到淺綠色（100），但是請(qǐng)注意5.3.3中表3有關(guān)使用顏色的說明；c) 報(bào)告，從簡(jiǎn)單和統(tǒng)計(jì)性的，比如一個(gè)給定時(shí)間段的測(cè)度列表，到更為復(fù)雜的交叉表，這種交叉表包括內(nèi)嵌組、滾動(dòng)總結(jié)、動(dòng)態(tài)透視或鏈接。報(bào)告最好被用在用戶需要以一種易讀的格式看原始數(shù)據(jù)時(shí)；以及d)

42、量表來表示動(dòng)態(tài)的數(shù)據(jù)值包括警報(bào)、附加的圖形元素，以及端點(diǎn)的標(biāo)記。7.8 記錄測(cè)量的完整方法應(yīng)被記錄在一個(gè)實(shí)施計(jì)劃中。實(shí)施計(jì)劃應(yīng)至少包括以下信息：a) 測(cè)量的意圖；b) 將被測(cè)量的控制措施和控制目標(biāo)；c) 測(cè)量對(duì)象；d) 將被收集和使用的測(cè)度；e) 數(shù)據(jù)收集過程；f) 數(shù)據(jù)分析和報(bào)告過程，包括報(bào)告格式；g) 利益相關(guān)方的角色和責(zé)任；以及h) 測(cè)度評(píng)審的周期，以確保測(cè)量與信息安全管理體系和業(yè)務(wù)目標(biāo)保持同步。8. 測(cè)量運(yùn)行8.1 概述信息安全測(cè)量的運(yùn)行包括收集、存儲(chǔ)和驗(yàn)證被用來創(chuàng)建信息安全測(cè)度的數(shù)據(jù)。它也包括一些必要的活動(dòng)，這些活動(dòng)保證所收集的測(cè)量被用來獲得對(duì)信息安全管理體系有效性的理解，以及識(shí)別適

43、當(dāng)?shù)母倪M(jìn)措施。本階段包括以下活動(dòng)：a) 將測(cè)量規(guī)程整合進(jìn)整個(gè)信息安全管理體系的運(yùn)行；以及b) 收集、存儲(chǔ)和驗(yàn)證數(shù)據(jù)。8.2 規(guī)程整合信息安全測(cè)量項(xiàng)目應(yīng)被信息安全管理體系充分地整合和使用，包括：a) 在信息安全管理體系背景下，定義和記錄關(guān)于開發(fā)、實(shí)施和維護(hù)信息安全測(cè)量的角色和職責(zé)；b) 數(shù)據(jù)生成與收集，包括變更現(xiàn)有過程以容納數(shù)據(jù)生成與收集活動(dòng)；c) 向利益相關(guān)方溝通數(shù)據(jù)收集活動(dòng)的改變，以保證數(shù)據(jù)收集人的能力，包括他們對(duì)所要求數(shù)據(jù)類型、數(shù)據(jù)收集工具、數(shù)據(jù)收集規(guī)程的理解。增強(qiáng)信息收集人的能力將有助于提高數(shù)據(jù)收集質(zhì)量，以及測(cè)量對(duì)組織的用處；d) 數(shù)據(jù)分析和報(bào)告應(yīng)被整合進(jìn)相關(guān)過程，以保證這些過程的常規(guī)性

44、能；e) 策略和規(guī)程，它們定義了組織內(nèi)測(cè)量的使用，測(cè)量信息的發(fā)布，以及信息安全測(cè)量項(xiàng)目的審計(jì)和評(píng)審；f) 一個(gè)監(jiān)控測(cè)量的過程，以評(píng)價(jià)測(cè)量的使用情況；g) 一個(gè)去除測(cè)量和增加新測(cè)量的過程，以確保測(cè)量隨組織不斷演進(jìn)；以及h) 一個(gè)確定用于趨勢(shì)分析的歷史數(shù)據(jù)有用期的過程。8.3 數(shù)據(jù)收集和處理數(shù)據(jù)收集過程包括：a) 所需要的數(shù)據(jù)應(yīng)根據(jù)實(shí)施計(jì)劃中定義的過程，使用指定的測(cè)量方法按照常規(guī)間隔來收集；b) 記錄數(shù)據(jù)收集，包括：1) 數(shù)據(jù)收集的日期、時(shí)間、地點(diǎn)；2) 信息收集者；3) 信息所有者；4) 數(shù)據(jù)收據(jù)過程中發(fā)生的任何問題；以及5) 數(shù)據(jù)驗(yàn)證和測(cè)量證實(shí)的信息；以及c) 根據(jù)屬性證實(shí)準(zhǔn)則，驗(yàn)證所收集的數(shù)

45、據(jù)應(yīng)對(duì)所收集數(shù)據(jù)進(jìn)行整理，并以有助于數(shù)據(jù)分析和報(bào)告的格式來存儲(chǔ)。所存儲(chǔ)的數(shù)據(jù)應(yīng)帶有必要的背景信息。9. 測(cè)量分析和報(bào)告9.1 概述測(cè)量應(yīng)該被分析和報(bào)告。這個(gè)階段包括以下活動(dòng)：a) 分析數(shù)據(jù)和產(chǎn)生測(cè)量結(jié)果；以及b) 向利益相關(guān)方溝通測(cè)量結(jié)果。9.2 分析數(shù)據(jù)和產(chǎn)生測(cè)量結(jié)果收集的數(shù)據(jù)應(yīng)該基于決策準(zhǔn)則被分析和解釋。數(shù)據(jù)在分析之前可以被聚合、轉(zhuǎn)換或再次編碼，在數(shù)據(jù)處理期間將產(chǎn)生計(jì)劃中的指標(biāo)。很多種分析技術(shù)能被應(yīng)用。分析的深度應(yīng)該根據(jù)數(shù)據(jù)的自身特性和信息需要來確定。執(zhí)行統(tǒng)計(jì)分析的指南參見ISO TR 10017:2003。數(shù)據(jù)分析的結(jié)果應(yīng)該被解釋。分析結(jié)果的人（溝通者）應(yīng)該能基于結(jié)果給出一些初始結(jié)論。但

46、是溝通者可能不會(huì)直接涉及技術(shù)和管理過程，這些結(jié)論需要由其他利益相關(guān)方進(jìn)行評(píng)審。所有的解釋都應(yīng)該考慮測(cè)度的背景。數(shù)據(jù)分析應(yīng)識(shí)別實(shí)際性能和期望性能間的差距。這種分析將指出可能需要改進(jìn)的相關(guān)測(cè)量對(duì)象、控制目標(biāo)及控制措施，以改進(jìn)信息安全性能。對(duì)那些顯示出不符合或性能差的指標(biāo)，應(yīng)該識(shí)別其原因，可能包括以下幾類：a) 實(shí)施失敗造成的不符合被期望實(shí)施的控制措施或信息安全管理體系過程，或者沒有被實(shí)施，或者在實(shí)施、運(yùn)行和管理上不充分；b) 無效控制措施或信息安全管理體系過程1) 控制措施或信息安全管理體系過程已被正常實(shí)施、運(yùn)行和管理，但不能應(yīng)對(duì)所預(yù)計(jì)的威脅；2) 控制措施或信息安全管理體系過程已被實(shí)施，但沒有被

47、正常運(yùn)行和管理。c) 風(fēng)險(xiǎn)處置失敗：控制措施或信息安全管理體系過程已被正常實(shí)施、運(yùn)行和管理，但可以被威脅繞過；以及d) 風(fēng)險(xiǎn)評(píng)估失敗：1) 控制措施或信息安全管理體系過程已被正常實(shí)施、運(yùn)行和管理，但不能應(yīng)對(duì)實(shí)際威脅，因?yàn)橥{范圍太大；2) 控制措施或信息安全管理體系過程未被實(shí)施，因?yàn)轱L(fēng)險(xiǎn)評(píng)估過程中忽視了一些威脅；以及3) 控制措施或信息安全管理體系過程已被實(shí)施但無效，因?yàn)轱L(fēng)險(xiǎn)評(píng)估過程中忽視了一些威脅。數(shù)據(jù)分析結(jié)果、指標(biāo)、與決策準(zhǔn)則相關(guān)的解釋，以及相關(guān)的支持信息構(gòu)成了測(cè)量結(jié)果。總結(jié)測(cè)量結(jié)果的報(bào)告，應(yīng)根據(jù)實(shí)施計(jì)劃，使用適當(dāng)?shù)膱?bào)告格式（見7.7）來準(zhǔn)備。分析的結(jié)論應(yīng)被利益相關(guān)方評(píng)審，以保證對(duì)數(shù)據(jù)的適

48、當(dāng)解釋。數(shù)據(jù)分析的結(jié)果應(yīng)被記錄，以便向各利益相關(guān)方進(jìn)行溝通。9.3 溝通結(jié)果負(fù)責(zé)分析數(shù)據(jù)和報(bào)告結(jié)果的人員或組織單位（溝通者）應(yīng)該決定如何溝通信息安全測(cè)量結(jié)果，包括：a) 哪些測(cè)度在內(nèi)部和外部報(bào)告；b) 針對(duì)各利益相關(guān)方和興趣相關(guān)方的測(cè)度列表；c) 報(bào)告結(jié)構(gòu)，被提供的特定測(cè)度，以及展示類型都應(yīng)被剪裁以適合各個(gè)組的需求；以及d) 各利益相關(guān)方之間交換反饋意見的方式，用來評(píng)價(jià)信息產(chǎn)品和測(cè)量過程；測(cè)量結(jié)果應(yīng)該與一系列的內(nèi)部利益相關(guān)方溝通，包括但不限于：a) 負(fù)責(zé)風(fēng)險(xiǎn)管理過程的人員，特別是在發(fā)現(xiàn)風(fēng)險(xiǎn)評(píng)估或風(fēng)險(xiǎn)處置失敗之處；b) 管理層，為了識(shí)別有待改進(jìn)之處；c) 提供任何反饋的信息擁有者。測(cè)量可能需要發(fā)

49、布給外部利益相關(guān)方，包括上級(jí)單位、股東、顧客和供應(yīng)商。外部報(bào)告不應(yīng)像內(nèi)部報(bào)告那樣詳細(xì)，應(yīng)僅包含適合外部使用的數(shù)據(jù)。外部報(bào)告在發(fā)布之前，應(yīng)由組織內(nèi)的管理層和其他適當(dāng)方進(jìn)行評(píng)審。10. 測(cè)量項(xiàng)目評(píng)價(jià)和改進(jìn)10.1 概述測(cè)量項(xiàng)目應(yīng)該被評(píng)價(jià)和改進(jìn)，以確保測(cè)量項(xiàng)目：a) 以一種有用和有效的方式，持續(xù)滿足組織對(duì)信息安全測(cè)量的要求；b) 是否按計(jì)劃執(zhí)行；c) 符合對(duì)威脅和脆弱性的變更；以及d) 符合對(duì)環(huán)境的變更（例如：需求、法律和技術(shù)）。證實(shí)的結(jié)果應(yīng)能提供清晰的指示，關(guān)于對(duì)當(dāng)前信息安全測(cè)量項(xiàng)目滿足組織要求的程度，以及是否需要對(duì)測(cè)量項(xiàng)目作改進(jìn)。結(jié)果的實(shí)用性和獲取它們的成本應(yīng)依據(jù)測(cè)量項(xiàng)目的目標(biāo)進(jìn)行評(píng)價(jià)。評(píng)價(jià)的結(jié)

50、果應(yīng)該有助于決定是否當(dāng)前信息安全測(cè)量項(xiàng)目滿足組織要求的程度，或者是否需要作改進(jìn)。組織應(yīng)明確評(píng)價(jià)的頻率，計(jì)劃周期性修訂的時(shí)間段，并建立做這些可能修訂的機(jī)制。下面的步驟應(yīng)被遵循：a) 識(shí)別測(cè)量項(xiàng)目的評(píng)價(jià)準(zhǔn)則（見10.2）；b) 監(jiān)控、評(píng)審和評(píng)價(jià)測(cè)量（見10.3）；以及c) 實(shí)施改進(jìn)（見10.4）。10.2 識(shí)別測(cè)量項(xiàng)目的評(píng)價(jià)準(zhǔn)則在初步實(shí)施后，組織評(píng)價(jià)測(cè)量結(jié)果的實(shí)用性和有效性，以及獲取測(cè)量結(jié)果所需要的投入。測(cè)量結(jié)果能被評(píng)價(jià)前就應(yīng)該建立評(píng)價(jià)準(zhǔn)則。評(píng)價(jià)的目的是評(píng)估修改或改進(jìn)測(cè)量項(xiàng)目的必要性。除了內(nèi)部信息安全管理體系審計(jì)外，還可以進(jìn)行外部審計(jì)來提供獨(dú)立的第三方評(píng)估。組織應(yīng)為審計(jì)確定適當(dāng)?shù)臅r(shí)間，以保證它們不

51、會(huì)嚴(yán)重地干擾運(yùn)行。當(dāng)有如下最有可能的條件出現(xiàn)時(shí)，組織應(yīng)該再次評(píng)價(jià)并改進(jìn)當(dāng)前的信息安全測(cè)量項(xiàng)目：a) 業(yè)務(wù)目標(biāo)和要求的變更；b) 威脅環(huán)境的變更；c) 風(fēng)險(xiǎn)的變更；d) 用于測(cè)量的更完善或合適數(shù)據(jù)的增多；e) 在組織的背景下，被用來測(cè)量的測(cè)量對(duì)象和屬性的變更；以及f) 法律、法規(guī)和其它外部要求的變更。以下準(zhǔn)則可以用來評(píng)價(jià)測(cè)量結(jié)果：a) 測(cè)量結(jié)果對(duì)于改進(jìn)信息安全是有用的；b) 測(cè)量結(jié)果符合信息需要。如果收集的測(cè)量結(jié)果在整體上對(duì)于改進(jìn)組織的信息安全是有用的，那么測(cè)量項(xiàng)目是有效的。10.3 監(jiān)控、評(píng)審與評(píng)價(jià)測(cè)量項(xiàng)目在依據(jù)10.2的準(zhǔn)則初步實(shí)施后，以及在基礎(chǔ)系統(tǒng)或相應(yīng)業(yè)務(wù)目標(biāo)發(fā)生重大變更時(shí)，包括所有的測(cè)

52、度、指標(biāo)、決策準(zhǔn)則和測(cè)量結(jié)果在內(nèi)的測(cè)量項(xiàng)目，應(yīng)該被監(jiān)控、評(píng)審和評(píng)價(jià)。潛在的改進(jìn)可以被識(shí)別，包括：a) 按照已建立的準(zhǔn)則修正測(cè)度；b) 去除或替換不再適合的測(cè)度、指標(biāo)和決策準(zhǔn)則；c) 確保分配充足的資源來支持測(cè)量項(xiàng)目；d) 識(shí)別測(cè)量項(xiàng)目所需的改進(jìn)，并計(jì)劃實(shí)施；e) 記錄管理層的決策，以允許以后各測(cè)量的比較和趨勢(shì)分析。監(jiān)控、評(píng)審和評(píng)價(jià)測(cè)量項(xiàng)目的結(jié)果應(yīng)該向管理層溝通，以便對(duì)必要的改進(jìn)和測(cè)度今后的使用做出決策。管理層的決策和測(cè)量項(xiàng)目改進(jìn)的結(jié)果應(yīng)該向合適的利益相關(guān)者溝通。利益相關(guān)者應(yīng)該根據(jù)測(cè)度對(duì)其的有用性給出反饋，這種反饋將為信息安全測(cè)量項(xiàng)目的評(píng)價(jià)提供輸入。10.4 實(shí)施改進(jìn)已識(shí)別的改進(jìn)應(yīng)被管理層正式記錄和批準(zhǔn)。管理層應(yīng)保證按計(jì)劃實(shí)施改進(jìn)。組織可以使用項(xiàng)目管理技術(shù)來完成改進(jìn)。附錄A（資料性附錄）信息安全測(cè)量模板附錄A提供了信息安全測(cè)量的模板，包含了5.3節(jié)描述的需要在7.5節(jié)識(shí)別的所有組件。組織可以根據(jù)自己的需求修改該模板。測(cè)度識(shí)別測(cè)度名測(cè)度名數(shù)字識(shí)別碼特定組織的唯一識(shí)別碼