ISO IEC 27004-2009信息安全測量中文版

1、信息技術(shù)安全技術(shù)信息安全管理測量27004 N6614 (FCD)標(biāo)準(zhǔn)草案目錄0 介紹40.1 概述40.2 管理層概述41 范圍52 規(guī)范性引用53 術(shù)語和定義54 本標(biāo)準(zhǔn)的結(jié)構(gòu)95 信息安全測量概述95.1 信息安全目標(biāo)95.2 信息安全測量項目105.3 信息安全測量模型125.3.1 基本測度和測量方法135.3.2 導(dǎo)出測度和測量函數(shù)135.3.3 指標(biāo)和分析模型145.3.4 測量結(jié)果和決策準(zhǔn)則156. 管理職責(zé)156.1 概述156.2 資源管理166.3 測量培訓(xùn)，意識和能力167. 測度和測量開發(fā)167.1 概述167.2 測量范圍識別167.3 信息需要識別177.4 對象

2、識別187.5 測量開發(fā)和選擇187.5.1 測量方法187.5.2 測量函數(shù)197.5.3 利益相關(guān)方197.5.4 屬性選擇和評審197.5.5 分析模型207.5.6 指標(biāo)和報告格式207.5.7 決策準(zhǔn)則207.6 測度證實217.7 數(shù)據(jù)收集、分析和報告217.8 記錄228. 測量運行228.1 概述228.2 規(guī)程整合228.3 數(shù)據(jù)收集和處理239. 測量分析和報告239.1 概述239.2 分析數(shù)據(jù)和產(chǎn)生測量結(jié)果239.3 溝通結(jié)果2410. 測量項目評價和改進(jìn)2510.1 概述2510.2 識別測量項目的評價準(zhǔn)則2510.3 監(jiān)控、評審與評價測量項目2610.4 實施改進(jìn)2

3、6附錄A（資料性附錄） 信息安全測量模板27附錄B（資料性附錄） 測度范例29參考文獻(xiàn)310 介紹0.1 概述本國際標(biāo)準(zhǔn)就測度和測量的開發(fā)和使用提供了指南和建議，以評估信息安全管理體系（ISMS）的有效性，包括ISO/IEC 27001中用來實施和管理信息安全的ISMS策略、控制目標(biāo)和安全控制措施。通過使用信息安全測度，組織能識別現(xiàn)有信息安全管理體系的充分性，包括策略、風(fēng)險管理、控制目標(biāo)、控制措施、過程和規(guī)程，并支持組織進(jìn)行過程的修訂，決定哪些ISMS過程或控制措施應(yīng)該變更和改進(jìn)。對該方法的實施組成了一個信息安全測量項目。信息安全測量項目將幫助管理層識別和評價不符合和無效的控制措施，以及排列與

4、這些控制措施改進(jìn)或變更相關(guān)行動的優(yōu)先次序。測量項目也能幫助組織展示與ISO/IEC 27001標(biāo)準(zhǔn)的符合程度，并能產(chǎn)生管理評審過程的輸入。對信息安全測量項目的實施，應(yīng)該優(yōu)先保證向利益相關(guān)方提供了關(guān)于各種最嚴(yán)重（或是最高優(yōu)先級別）風(fēng)險及其處置/控制措施狀態(tài)的可靠信息。本國際標(biāo)準(zhǔn)假定開發(fā)測量的起點是對組織和利益相關(guān)方所面臨信息安全風(fēng)險的充分理解，并且風(fēng)險評估過程已經(jīng)按照ISO/IEC 27001要求得到了正確地實施。一個有效的信息安全測量項目應(yīng)改進(jìn)利益相關(guān)方對可提供狀態(tài)信息的各種測量的信心，并使利益相關(guān)方能使用這些測量有效持續(xù)改進(jìn)信息安全和信息安全管理體系。本國際標(biāo)準(zhǔn)的使用能夠支持對一段時間內(nèi)信息

5、安全目標(biāo)達(dá)成情況的比較，以作為組織信息安全管理體系持續(xù)改進(jìn)過程的一部分。本指南包括：a) 開發(fā)測度；b) 實施和運行一個信息安全測量項目；c) 向利益相關(guān)方收集、分析和溝通測度；d) 使用所收集的測度來幫助信息安全管理體系的相關(guān)決策；e) 使用所收集的測度來有效改進(jìn)信息安全管理體系的控制目標(biāo)和控制措施；f) 促進(jìn)信息安全測量項目的持續(xù)改進(jìn)。本國際標(biāo)準(zhǔn)提供了模板，可能對測量的管理有所幫助。0.2 管理層概述ISO/IEC 27001 要求管理層“定義怎樣測量所選擇的一個或一組控制措施的有效性，并指明這些測度是怎樣被用來評估控制措施有效性，以產(chǎn)生可比較和可再現(xiàn)的結(jié)果。”公認(rèn)地，根據(jù)多種因素，包括風(fēng)

6、險暴露、規(guī)模、資源可用性、能力、行為和部門需求的不同，被組織采用來測量控制措施有效性的方法也有所不同。仔細(xì)地選擇和證明所使用的方法是很重要的，這可以保證過多的資源不被投入到信息安全管理體系中某個方面，從而損害到其它必要的領(lǐng)域。明智地，應(yīng)該將控制措施有效性測量納入到組織的日常運作中，包括最小的附加資源需求，以滿足對測量的持續(xù)需求。對所有組織來說，基本規(guī)程的要求已概括在0.1（指南列表）中。然而，某個因素（如系統(tǒng)規(guī)模）可能影響組織測量控制措施有效性。一般而言，業(yè)務(wù)的規(guī)模和復(fù)雜度，及其與信息安全重要性的組合，將影響所需測量的擴(kuò)展程度，無論是測度數(shù)量還是測量頻度。中小企業(yè)可以實施基本理解意義上的信息安

7、全測量項目，而大企業(yè)則可能多個信息安全測量項目。在初始實施和適當(dāng)改進(jìn)措施被實施后，整個測量過程應(yīng)該被評審。本國際標(biāo)準(zhǔn)的使用將提供適當(dāng)?shù)奈臋n和支持，這將有助于展示控制措施有效性正在被測量和評估。1 范圍本國際標(biāo)準(zhǔn)為開發(fā)和使用測量提供了指南，以評估ISO/IEC 27001中所描述的信息安全管理體系（ISMS）過程、控制目標(biāo)以及控制措施的有效性。本國際標(biāo)準(zhǔn)適用于任何類型和規(guī)模的組織。2 規(guī)范性引用以下的引用文檔對本文的應(yīng)用是不可缺少的。對那些標(biāo)有日期的引用，只有該引用的版本才適用。對于沒有標(biāo)日期的引用，應(yīng)使用最新版本（包括任何修正文檔）。l ISO/IEC 27001，信息技術(shù)安全技術(shù)信息安全管理

8、體系要求3 術(shù)語和定義以下術(shù)語和定義適用于本標(biāo)準(zhǔn)：3.1測量分析模型 analytical model for measurement分析模型 analytical model將一個或多個基本測度和/或?qū)С鰷y度與相關(guān)決策準(zhǔn)則組合在一起的算法或計算。3.2屬性 attribute 可由人或自動化工具定量或定性辨別的實體特征或特性。ISO/IEC 15939:20073.3基本測度 base measure 用某個屬性及其量化方法定義的測度。ISO/IEC 15939:2007注1：一個基本測度在功能上獨立于其它測度。3.4控制措施 control管理風(fēng)險的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)

9、構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的。ISO/IEC 27002:2005注：控制措施也用于防護(hù)措施或?qū)Σ叩耐x詞。3.5數(shù)據(jù) data 賦予基本測度、導(dǎo)出測度和（或）指標(biāo)的值的集合。ISO/IEC 15939:20073.6決策準(zhǔn)則 decision criteria 用于確定是否需要行動或進(jìn)一步調(diào)查的，或者用于描述給定結(jié)果置信度的閾值、目標(biāo)或模式。ISO/IEC 15939:20073.7導(dǎo)出測度 derived measure 定義為兩個或兩個以上基本測度的函數(shù)的測度。ISO/IEC 15939:20073.8指標(biāo) indicator 對由規(guī)定信息需要的相關(guān)模型導(dǎo)出的指定屬性提供

10、估算或評價的測度。ISO/IEC 15939:20073.9信息需要 information need 為管理目標(biāo)、目的、風(fēng)險和問題所必需的見解。ISO/IEC 15939:20073.10信息安全管理體系 information security management system (ISMS) 整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險方法，建立、實施、運行、監(jiān)控、核查、維持和改進(jìn)信息安全I(xiàn)SO/IEC 27001: 2005。注：管理系統(tǒng)包括組織結(jié)構(gòu)，策略，計劃活動，責(zé)任，實踐，規(guī)程，過程和資源。3.11ISMS有效性 ISMS effectiveness信息安全活動滿足組織目標(biāo)的程度。注：在本

11、標(biāo)準(zhǔn)中，效率僅關(guān)注于控制措施的有效性。3.12測度 Measure 一個變量，該變量被賦值，作為執(zhí)行一次測量的結(jié)果。ISO/IEC 15939:2007注：術(shù)語”measures” 用來指基本測度、導(dǎo)出測度，以及指標(biāo)。3.13測量 measurement 一個過程，包括信息安全管理體系和用以實現(xiàn)控制目標(biāo)的控制措施的有效性，以及信息安全管理體系各過程性能相關(guān)信息的獲取，以及測量方法、測量函數(shù)、測量模型及測量準(zhǔn)則的使用。3.14測量函數(shù) measurement function 為組合兩個或兩個以上基本測度而執(zhí)行的算法或計算。ISO/IEC 15939:20073.15測量方法 measureme

12、nt method 一般地描述為，用于以指定的標(biāo)度量化屬性的邏輯操作序列。ISO/IEC 15939:2007 注：測量方法類型取決于用來量化屬性的操作的性質(zhì)?？煞譃閮煞N類型：主觀類涉及人為判斷的量化；客觀類基于數(shù)字規(guī)則的量化。3.16測量結(jié)果 measurement results 針對信息安全需求的一個或多個指標(biāo)及其相關(guān)的解釋。3.17對象 object一個對象通過對其屬性的測量得以識別3.18標(biāo)度 scale 一組有序的連續(xù)或離散值，或與屬性映射的類目。ISO/IEC 15939:2007 注：標(biāo)度類型取決于標(biāo)度值間關(guān)系的性質(zhì)，通常定義四種類型的標(biāo)度：標(biāo)稱標(biāo)度測量值是類目；順序標(biāo)度測量值

13、是隊列；間隔標(biāo)度測量值的等距與屬性的等量對應(yīng)；比率標(biāo)度測量值的等距與屬性的等量對應(yīng)，其中零值對應(yīng)于無屬性。3.19測量單位 unit of measurement按約定定義和采用的具體量，其他同類量與這個量進(jìn)行比較，用以表示它們相對于這個量的大小。ISO/IEC 15939:20073.20確認(rèn)證實 validation通過提供客觀證據(jù)，證實對某個有意使用或應(yīng)用的需求已經(jīng)得到滿足。3.21驗證 verification通過提供客觀證據(jù)，證實特定的要求已經(jīng)得到滿足。注：也稱為符合性測試4 本標(biāo)準(zhǔn)的結(jié)構(gòu)除了為開發(fā)和使用測量提供了指南，以評估ISO/IEC 27001中所描述的信息安全管理體系（IS

14、MS）過程、控制目標(biāo)以及控制措施的有效性外，本國際標(biāo)準(zhǔn)還提供了對測量過程及其活動的描述。對信息安全測量項目及其模型的概述和背景信息見第5節(jié)。管理職責(zé)見第6節(jié)。第7節(jié)到第10節(jié)描述了測量項目中的各過程（詳見5.2）。如何開發(fā)和記錄測量的附加信息見附錄。附錄A提供了測量模板的范例，附錄B提供了使用附錄A中模板的測量范例。5 信息安全測量概述5.1 信息安全目標(biāo)在信息安全管理體系背景下，測量項目的目標(biāo)可以包括：a) 評價所實施信息安全控制目標(biāo)和控制措施的有效性；b) 評價信息安全管理體系有效性，包括持續(xù)改進(jìn)循環(huán)；c) 基于組織整體業(yè)務(wù)風(fēng)險，促進(jìn)信息安全的性能改進(jìn)；d) 提供客觀數(shù)據(jù)和分析，來幫助管理

15、評審、輔助決策，以及向管理層證明控制措施的改進(jìn)；e) 為安全審核提供輸入；f) 向相關(guān)的利益相關(guān)方溝通信息安全的有效性；g) 作為風(fēng)險管理過程的輸入；h) 為對有效性的內(nèi)部比較和內(nèi)部打分提供信息；以及i) 支持對所識別安全需求滿足到何種程度的驗證。一個特定組織的測量項目應(yīng)當(dāng)基于大量的考慮，包括：a) 在支持組織整體業(yè)務(wù)活動和所面臨的風(fēng)險方面，信息安全所扮演的角色；b) 基于客觀測量的持續(xù)改進(jìn)；c) 適用的法律、規(guī)章，以及合同要求；d) 組織的架構(gòu)；e) 實施信息安全測量的成本和收益；以及f) 組織對風(fēng)險的接受態(tài)度。圖1 解釋了與ISO/IEC 27001中描述的PDCA循環(huán)相比，測量活動的輸入

16、輸入循環(huán)關(guān)系。圖1 PDCA循環(huán)中的測量輸入與輸出為了達(dá)到信息安全測量所建立的目標(biāo)，并在所有測量活動中實施PDCA循環(huán)，組織應(yīng)該建立并管理一個信息安全測項目（見5.2）。為獲得基于信息安全測量模型（見5.3）的可重復(fù)的、客觀的和有用的結(jié)果，組織還應(yīng)建立一個測量活動框架。5.2 信息安全測量項目一個信息安全測量項目通過使用測度，識別和評價信息安全管理體系的充分性和有效性，并對改進(jìn)現(xiàn)有控制措施和整體信息安全管理體系的需求進(jìn)行識別。為了策劃和組織多種和大量的測量，并為在一個指定的時間段和/或時期內(nèi)有效和高效地執(zhí)行測量提供資源，一個測量項目包括了所有必要的活動。組織可以建立一個以上的測量項目。管理層應(yīng)

17、該為測量項目建立角色和職責(zé)。一個測量項目應(yīng)包括以下過程：a) 測度和測量的開發(fā)（見第7節(jié)）；b) 測量的運行（見第8節(jié)）；c) 測度的分析和報告（見第9節(jié)）；以及d) 測量項目改進(jìn)（見第10節(jié)）。圖2展示了測量項目管理的過程流。圖2 測量項目管理過程流示意圖通過測量的使用信息安全測量項目的一個關(guān)鍵元素，可以對現(xiàn)有控制措施和過程進(jìn)行評價來確定這些控制措施和過程是否充分和有效，或是這些控制措施和過程是否需要被改進(jìn)或變更，從而改進(jìn)整個信息安全管理體系。為了成功達(dá)成信息安全管理體系的持續(xù)改進(jìn)，信息安全測量項目應(yīng)當(dāng)考慮，例如，以下要素的適當(dāng)組合：a) 管理層的承諾并有適當(dāng)資源支持；b) 信息安全管理體系

18、各過程和規(guī)程的存在；c) 能夠捕獲和報告有意義數(shù)據(jù)的過程；d) 基于信息安全管理體系目標(biāo)的定量安全測度；e) 易于獲取和測量的定量安全測度；f) 一個可重復(fù)的過程，以提供一段時間的相關(guān)趨勢；g) 一個有用的追蹤過程，以支持有效地調(diào)配資源；h) 以一種有意義的方式，一致、定期地收集、分析和報告測量數(shù)據(jù)；i) 利益相關(guān)方使用信息安全管理體系測量結(jié)果，來改進(jìn)現(xiàn)有信息安全管理體系過程和控制措施的有效性；j) 一個反饋環(huán)，以支持整體改進(jìn)；k) 對所產(chǎn)生結(jié)果有用性的評價；以及l(fā)) 風(fēng)險管理過程的輸入機制，來輔助對控制措施選擇、實施以及資源分配的優(yōu)先順序。一旦成功實施，信息安全測量項目能：a) 展示組織與適

19、用法律、法規(guī)、規(guī)章的符合性；b) 支持對以前未檢測到的未知信息安全因素的識別；c) 當(dāng)描述歷史和當(dāng)前活動的測量時，有助于滿足向管理層的報告需求；以及d) 被用作信息安全管理體系內(nèi)審和管理評審的輸入。5.3 信息安全測量模型信息安全測量模型將單個的簡單測度納入更復(fù)雜的組合測度，從而提供全面的和一致的測量結(jié)果，可以不斷重復(fù)地用于基準(zhǔn)測試和比較。圖3中描述了一個信息安全測量模型。通過應(yīng)用該模型所開發(fā)的測量范例見附錄B。圖3 信息安全測量模型以下各子節(jié)將使用這樣一個范例來描述模型中的各元素：策略要求所有員工在被授權(quán)訪問信息系統(tǒng)前，應(yīng)被適當(dāng)告知信息處理的規(guī)則。兩個控制措施被定義來實施該策略：a) 所有員

20、工在被授權(quán)訪問信息系統(tǒng)前，必須簽署用戶協(xié)議；以及b) 所有員工在被授權(quán)訪問信息系統(tǒng)前，必須接受信息安全意識培訓(xùn)。5.3.1 基本測度和測量方法一個測量對象可能會有多個屬性，只有這些屬性中的一些為基本測度提供輸入是有用的。對測量對象的各種屬性應(yīng)用測量方法，得到基本測度。一個給定的屬性可被用在多個不同的測量上。一個測量方法是用于以指定的標(biāo)度量化屬性的邏輯操作序列。測量方法可以通過各類資源使用測量對象的數(shù)據(jù)，例如：a)風(fēng)險評估和風(fēng)險分析結(jié)果；b)調(diào)查表和個人面談；c)內(nèi)部或外部審計報告；d)事件記錄，如日志、報表統(tǒng)計、審計軌跡等；e)事故報告，尤其是那些造成影響發(fā)生的事故；f)測試結(jié)果，如滲透性測試

21、、社交工程、符合性工具和安全審計工具；以及g)信息安全意識培訓(xùn)結(jié)果。表1包含一個范例，說明測量對象、屬性、測量方法和基本測度之間的關(guān)系。測量對象屬性測量方法基本測度員工安全意識過程員工數(shù)據(jù)庫中的員工記錄中的個人字段1) 數(shù)據(jù)庫查詢，獲取已接受意識培訓(xùn)的員工數(shù)。2) 數(shù)據(jù)庫查詢，獲取已簽署用戶協(xié)議的員工數(shù)。3) 數(shù)據(jù)庫查詢，獲取已接受意識培訓(xùn)并已簽署用戶協(xié)議的員工數(shù)。4) 數(shù)據(jù)庫查詢，獲取全體員工數(shù)。1) 接受安全意識培訓(xùn)的員工數(shù)。2) 簽署用戶協(xié)議的員工數(shù)。3) 接受安全意識培訓(xùn)并簽署用戶協(xié)議的員工數(shù)。4) 員工總數(shù)。5.3.2 導(dǎo)出測度和測量函數(shù)導(dǎo)出測度通過對一個或多個基本測度應(yīng)用測量函數(shù)來

22、定義。一個給定的基本測度可能被用作多個導(dǎo)出測度的輸入。一個測量函數(shù)是為組合兩個或兩個以上基本測度而執(zhí)行的算法或計算，定義了這些基本測度如何被聚合到一個導(dǎo)出測度。導(dǎo)出測度的標(biāo)度和單位依賴于其各組成基本測度的標(biāo)度和單位，以及組合函數(shù)。測量函數(shù)可能會包括多種不同的技術(shù)，如對所有基本測度取平均值，對基本測度應(yīng)用權(quán)重，或?qū)⑺鼈冑x予定性值。測量函數(shù)可能會使用不同標(biāo)度來組合各基本測度，如百分比和定性評估結(jié)果。表2包含一個范例，說明基本測度、測量函數(shù)和導(dǎo)出測度之間的關(guān)系?；緶y度測量函數(shù)導(dǎo)出測度1) 接受安全意識培訓(xùn)，并簽署用戶協(xié)議的員工數(shù)。2) 簽署用戶協(xié)議的員工數(shù)。3) 員工總數(shù)。1) 將接受安全意識培訓(xùn)

23、，并簽署用戶協(xié)議的員工數(shù)除以員工總數(shù)，乘以100%。2) 將簽署用戶協(xié)議的員工數(shù)除以員工總數(shù)，乘以100%。1) 接受安全意識和培訓(xùn)，并簽署用戶協(xié)議的員工百分比。2) 簽署用戶協(xié)議的員工百分比。5.3.3 指標(biāo)和分析模型通過對導(dǎo)出測度應(yīng)用分析模型，獲得指標(biāo)。分析模型是將一個或多個基本測度和/或?qū)С鰷y度與相關(guān)決策準(zhǔn)則組合在一起的算法或計算（見表3）。指標(biāo)是對由規(guī)定信息需要的相關(guān)模型導(dǎo)出的指定屬性提供估算或評價的測度。標(biāo)度和測量方法會影響產(chǎn)生指標(biāo)的分析技術(shù)的選擇。表3包含一個范例，說明導(dǎo)出測度、分析模型和指標(biāo)之間的關(guān)系。導(dǎo)出測度分析模型指標(biāo)1) 接受安全意識培訓(xùn)，并簽署用戶協(xié)議的員工百分比。2)

24、簽署用戶協(xié)議的員工百分比。X已定義的組織可接受的策略符合性閾值。指標(biāo)值假設(shè)為“粗體”。如果X的用戶簽署了用戶協(xié)議，指標(biāo)值變?yōu)椤靶斌w”。如果X的用戶接受了安全意識培訓(xùn)并簽署了用戶協(xié)議，指標(biāo)值變?yōu)椤皹?biāo)準(zhǔn)體”。組織安全意識策略的符合性，在圖形上用粗體、斜體和標(biāo)準(zhǔn)體重新表示。注：如果使用顏色編碼，必須增強對顏色的描述，使用不同的陰影或不同的字體。目的為了保障視障用戶的使用，或者黑白打印的場合。以下章節(jié)同樣應(yīng)用。5.3.4 測量結(jié)果和決策準(zhǔn)則基于已定義的決策準(zhǔn)則，對適用的指標(biāo)進(jìn)行解釋，可以得到測量結(jié)果的評價。測量結(jié)果應(yīng)當(dāng)考慮評估信息安全管理體系過程、控制目標(biāo)、控制措施有效性的整體測量目標(biāo)。決策準(zhǔn)則是用于

25、確定是否需要行動或進(jìn)一步調(diào)查的，或者用于描述給定結(jié)果置信度的閾值、目標(biāo)或模式。目標(biāo)是可應(yīng)用于組織整體或部分的詳細(xì)的性能規(guī)格，來自于信息安全目標(biāo)并需要被設(shè)置及達(dá)到，如信息安全管理體系目標(biāo)和控制目標(biāo)。表4包含一個范例，說明指標(biāo)、決策準(zhǔn)則和測量結(jié)果之間的關(guān)系。指標(biāo)決策準(zhǔn)則測量結(jié)果組織安全意識策略的符合性，在圖形上用粗體、斜體和標(biāo)準(zhǔn)體重新表示。標(biāo)準(zhǔn)體符合策略。斜體和粗體不符合策略。向上趨勢顯示符合性得到改進(jìn)，向下趨勢顯示符合性的惡化。傾斜角度可能提供了控制措施實施有效性的見解。任何方向的陡峭斜線顯示對控制措施的實施需要做仔細(xì)的檢查，來判斷這種情況的原因。消極趨勢可能需要管理層的干預(yù)。積極趨勢應(yīng)該進(jìn)行檢

26、查，來識別潛在的最佳實踐。符合策略不需要變更。不符合策略應(yīng)該考慮修訂（策略）。6. 管理職責(zé)6.1 概述在信息安全管理體系范圍內(nèi)，管理層負(fù)責(zé)建立信息安全測量項目，引入不同的利益相關(guān)方（見7.4.3），并使用測量結(jié)果來作為監(jiān)控和改進(jìn)信息安全的輸入。為此，管理層應(yīng)：a) 為信息安全項目建立一個策略；b) 建立信息安全項目的角色和職責(zé)；c) 確保信息安全項目目標(biāo)的達(dá)成（見5.1）；d) 提供充足的資源來執(zhí)行信息安全測量項目；e) 確保適當(dāng)?shù)幕A(chǔ)設(shè)施到位；f) 確保使用適當(dāng)?shù)墓ぞ邎?zhí)行測量過程；g) 建立測量結(jié)果的目標(biāo)；h) 確保測量向組織內(nèi)各利益相關(guān)方提供了充足的信息（正如7.4.3節(jié)所定義的），以有

27、效監(jiān)控各控制措施的有效性，并/或識別整體控制措施架構(gòu)的缺陷；管理層應(yīng)通過適當(dāng)分配測量相關(guān)的角色和責(zé)任，保證測量結(jié)果不受到被測量對象所有者的影響。這可能是通過職責(zé)分割，或如果這不可能，通過使用允許獨立檢查的詳細(xì)記錄來實現(xiàn)。6.2 資源管理管理層應(yīng)該分配和提供資源來支持信息安全測量的必要功能，例如數(shù)據(jù)收集、分析、存儲、報告和分發(fā)。資源分配應(yīng)包括以下方面的分配：a) 負(fù)責(zé)信息安全測量項目所有方面的人員；b) 適當(dāng)?shù)呢攧?wù)支持；以及c) 適當(dāng)?shù)幕A(chǔ)設(shè)施支持，例如用于測量過程的物理基礎(chǔ)設(shè)施和工具。6.3 測量培訓(xùn)，意識和能力管理層應(yīng)保證:a) 參與測量設(shè)計和使用的所有職員在模型和項目上被充分培訓(xùn)，并且有適

28、當(dāng)?shù)哪芰砺男兴麄兊慕巧?；以及b) 使用測量的所有職員理解他們職責(zé)中有一部分是要為過程改進(jìn)提供建議，這可能包括建議不同的測量。7. 測度和測量開發(fā)7.1 概述本節(jié)描述了為了量化信息安全管理體系、控制目標(biāo)和控制措施的有效性，并識別針對特定利益相關(guān)方的一套測量，怎樣來開發(fā)測量。這些測量將通過提供評估信息安全管理體系有效性的多種手段，以及支持組織內(nèi)信息安全的持續(xù)改進(jìn)，進(jìn)一步加強信息安全管理體系的性能。7.2 測量范圍識別測量開發(fā)的過程應(yīng)該被建立和記錄，包括選擇用于測量的具體控制措施和控制目標(biāo)，識別這些對象的各種測量屬性，明確測量，并且建立數(shù)據(jù)收集、分析、報告的各種過程與工具。計劃過程應(yīng)包括識別財力、

29、人力，以及基礎(chǔ)設(shè)施（物理的和工具的）資源。管理層有責(zé)任來提供這些資源，以保證信息安全測量的成功實施。取決于組織的能力和資源，組織信息安全測量活動的最初范圍可能會被限制在管理層給予最高優(yōu)先級的活動、產(chǎn)品和服務(wù)上。隨著時間的推移，測量活動的最初范圍可以擴(kuò)大來包括信息安全管理體系的更多元素。測量的利益相關(guān)方應(yīng)該被識別并參與定義測量范圍。測量的利益相關(guān)方可能是組織單位內(nèi)部或外部的，例如項目經(jīng)理、信息系統(tǒng)經(jīng)理或信息安全決策者。關(guān)于每個控制措施有效性的具體信息被收集、聚合、分析，并向利益相關(guān)方進(jìn)行展示。組織應(yīng)考慮在一段給定時間段內(nèi)，對供一個決策者使用的測量數(shù)量進(jìn)行限制，以保證基于所收集信息進(jìn)行有效改變的能

30、力。過多的測量可能會削弱有效集中力量和未來活動優(yōu)先排序的能力。將被使用測量的優(yōu)先順序應(yīng)基于特定組織的準(zhǔn)則，并包括基于風(fēng)險的考慮。7.3 信息需要識別每個測量應(yīng)對應(yīng)于一個信息需要。信息需要是對于哪些需要被測量的表述，關(guān)于ISMS過程、控制目標(biāo)、控制措施，以及這些過程、控制目標(biāo)、控制措施的實施。應(yīng)該通過執(zhí)行下列活動來識別信息需要：a) 檢查信息安全管理體系及其過程，例如：1) 組織的信息安全管理體系策略、目標(biāo)、風(fēng)險和安全要求；2) 法律、法規(guī)和合同的要求；3) ISO/IEC 27001標(biāo)準(zhǔn)中所描述的風(fēng)險評估和處置過程的結(jié)果；4) 信息安全管理體系的有效性要求；b) 基于準(zhǔn)則對所識別的信息需要，排

31、列優(yōu)先次序，例如：1) 風(fēng)險處置優(yōu)先次序；2) 組織的能力和資源；3) 利害相關(guān)方的利益；4) 信息安全策略；5) 為滿足法律、法規(guī)和合同要求所需要的信息；6) 與測量成本相關(guān)的信息的價值；c) 根據(jù)已建立的準(zhǔn)則，選擇經(jīng)過優(yōu)先排序的信息需要；以及d) 向所有相關(guān)的利害相關(guān)方，記錄和溝通已選擇的信息需要。所有適用于信息安全管理體系過程、控制目標(biāo)和控制措施或成組的控制措施的測度，應(yīng)該基于已選擇的信息需要來實施。7.4 對象識別信息安全測量能在整個背景和信息安全管理體系范圍內(nèi)，被用在不同的業(yè)務(wù)對象上。識別用于測量的對象包括：a) 考慮已建立的測量目標(biāo)；以及b) 明確這些對象的關(guān)鍵屬性，這些屬性可能會

32、提供關(guān)于控制措施和控制目標(biāo)有效性及其實施的相關(guān)信息。描述測量對象和相應(yīng)屬性的數(shù)據(jù)將被用來作為單個基本測度的輸入。測量對象包括但不限于：a) 產(chǎn)品和服務(wù)；b) 過程；c) 適用的資產(chǎn)，如ISO/IEC 27001 中所識別的各種設(shè)施、應(yīng)用程序，以及信息系統(tǒng)；d) 業(yè)務(wù)單元；e) 地理位置。測量對象應(yīng)該要仔細(xì)地選擇，以確保測量的結(jié)果是有意義的。所選擇的對象應(yīng)該和選擇的理由一起被記錄。7.5 測量開發(fā)和選擇組織應(yīng)該使用已有的各種資源，來識別和剪裁信息安全測度。每個測量應(yīng)該被詳細(xì)地開發(fā)，適合每個組織的需求，并應(yīng)至少包括：a) 測度識別；b) 測量對象和屬性；c) 基本測度；d) 導(dǎo)出測度；e) 指標(biāo)；

33、f) 數(shù)據(jù)收集規(guī)程；以及g) 數(shù)據(jù)分析規(guī)程。信息安全測量的詳細(xì)模板范例在附錄A中提供。ISO/IEC 27001控制措施子集的測量范例參見附錄B。7.5.1 測量方法對每個基本測度應(yīng)識別其測量方法。通過將屬性轉(zhuǎn)換為基本測度，測量方法被用來量化測量對象。測量方法可能是主觀的或客觀的。主觀方法含有對人的判斷的量化，而客觀方法是基于數(shù)字規(guī)則的量化，如可能通過手工或自動化手段實施的計算。通過應(yīng)用適當(dāng)?shù)臉?biāo)度，測量方法將屬性量化成數(shù)值。每個標(biāo)度使用一個測量單位。只有以同種測量單位表達(dá)的量才能直接進(jìn)行比較。不管是手工（例如，問詢、觀察、自評估）還是自動化測量方法都需要獨立的驗證，以建立每個屬性值的置信度。對

34、每個測量方法，驗證準(zhǔn)則應(yīng)被定義和記錄。應(yīng)考慮測量方法的精度，相關(guān)的錯誤應(yīng)記錄。測量方法應(yīng)在一段時間保持一致，這樣在不同時間采取的基本測度是可比較的，并且基于這些基本測度的導(dǎo)出測度和指標(biāo)也同樣是可比較的。7.5.2 測量函數(shù)對每個導(dǎo)出測度，應(yīng)該定義一個使用兩個或兩個以上基本測度的測量函數(shù)。在某些情況下，基本測度能與導(dǎo)出測度一起作為分析模型的輸入。測量函數(shù)（如，公式）可能會包括多種不同的技術(shù)，如對所有基本測度取平均值，對基本測度應(yīng)用權(quán)重，或是在將基本測度聚合成導(dǎo)出測度前，將它們賦予定性值。測量函數(shù)可能會使用不同標(biāo)度來組合各基本測度，如百分比和定性評估結(jié)果。應(yīng)該定義一個計算每個測度的公式并記錄。應(yīng)考

35、慮由于基本測度的組合而導(dǎo)致的累積性錯誤。7.5.3 利益相關(guān)方對于每個測量，適當(dāng)?shù)睦嫦嚓P(guān)方都應(yīng)被識別和記錄。利益相關(guān)方可能包括：a) 所有者人員或組織單位，它們擁有被用來創(chuàng)建基本測度的測量對象和屬性的相關(guān)信息，并負(fù)責(zé)測量；b) 顧客人員或組織單位，為了開展他們的業(yè)務(wù)功能而申請和需要測量；c) 收集者人員或組織單位，負(fù)責(zé)收集、記錄和存儲數(shù)據(jù)；d) 溝通者人員或組織單位，負(fù)責(zé)分析數(shù)據(jù)和報告結(jié)果；以及e) 評審者人員或組織單位，負(fù)責(zé)對測量評價準(zhǔn)則是否適當(dāng)作評審，以驗證控制措施和信息安全管理體系過程的有效性。7.5.4 屬性選擇和評審一個測量對象可能有多個信息安全屬性。一個基本測度可能會選擇使用一個

36、或多個屬性。應(yīng)該對屬性進(jìn)行證實，以確保：a) 合適的屬性被選擇用來測量；以及b) 適當(dāng)數(shù)量的屬性已經(jīng)被選擇，以保證提供一個充分的集合來支持一個有效的測量。所選擇屬性的特征決定著何種測量方法將被使用來確定基本測度（例如，定量或定性的）。應(yīng)僅有那些與相應(yīng)基本測度有關(guān)的屬性被選擇。盡管屬性選擇應(yīng)考慮獲取測量屬性的困難程度，它不應(yīng)該只從那些易于獲取的數(shù)據(jù)，或是易于測量的屬性中選擇。7.5.5 分析模型對每個測度來說，應(yīng)該定義一個分析模型，目的是將一個或多個導(dǎo)出測度轉(zhuǎn)換為一個指標(biāo)。分析模型以某種方式組合各測度并產(chǎn)生輸出，這個輸出與信息安全管理體系策略有關(guān)，并對信息安全管理體系利益相關(guān)方有意義。注意，當(dāng)定

37、義分析模型時，應(yīng)用在指標(biāo)上的決策準(zhǔn)則也應(yīng)該被考慮。有時分析模型可以簡單到只是將單個導(dǎo)出測度轉(zhuǎn)換為一個指標(biāo)。7.5.6 指標(biāo)和報告格式通過聚合各導(dǎo)出測度并基于決策準(zhǔn)則對它們進(jìn)行解釋，將產(chǎn)生指標(biāo)。對將向顧客報告的每個指標(biāo)，應(yīng)該定義并記錄一個報告格式。報告格式將可視地描述測度并提供一個指標(biāo)的言語解釋。報告格式應(yīng)該被定制，以滿足顧客的信息需要。7.5.7 決策準(zhǔn)則每個指標(biāo)對應(yīng)的決策準(zhǔn)則，應(yīng)該基于信息安全目標(biāo)來定義和記錄，從而為客戶提供可行動的指南。該指南應(yīng)給出對測量進(jìn)展的期望以及基于指標(biāo)的啟動改進(jìn)措施的閾值。決策準(zhǔn)則建立了一個目的，由此成功可以被測量，決策準(zhǔn)則也為解釋指標(biāo)與目的的接近程度提供了指導(dǎo)。建

38、立決策準(zhǔn)則和目的的機制與從測度得到的指標(biāo)是有區(qū)別的。需要對與信息安全管理體系過程和控制措施性能相關(guān)的各項目設(shè)立目的，以及目標(biāo)的達(dá)成情況，并最終對評價信息安全管理體系和控制措施的有效性。組織可能會決定等到初始數(shù)據(jù)收集到后，再為指標(biāo)設(shè)置目的。一旦基于初始數(shù)據(jù)的糾正措施被識別，就能定義適當(dāng)?shù)臎Q策準(zhǔn)則和實施里程碑，它們對特定的信息安全管理體系是現(xiàn)實的。如果不能建立決策準(zhǔn)則，管理層應(yīng)評價被測量的對象和相應(yīng)的測度是否為組織提供了所期望的價值。如果與這些測度開發(fā)或選擇相關(guān)的歷史數(shù)據(jù)存在，將有助于決策準(zhǔn)則的建立。過去所觀察到的趨勢將提供對以前存在的性能范圍的見解，并為創(chuàng)建現(xiàn)實的決策準(zhǔn)則提供指導(dǎo)。決策準(zhǔn)則可以被

39、計算或基于一個對期望行為的概念性理解。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計劃和啟發(fā)式方法導(dǎo)出，或者從統(tǒng)計控制界限或統(tǒng)計置信界限計算得到。7.6 測度證實管理層應(yīng)對所開發(fā)的測度進(jìn)行證實，以保證所開發(fā)測度是有用并有成本效益的。下面這些準(zhǔn)則可能與決定測度是否有用并有成本效益相關(guān)：a) 戰(zhàn)略的：與組織的業(yè)務(wù)目標(biāo)和利益相關(guān)方的需求一致；b) 定量的：提供客觀和經(jīng)驗數(shù)據(jù)；c) 解釋性的：能容納主觀輸入來幫助對數(shù)據(jù)的解釋；d) 具有成本效益：數(shù)據(jù)收集的成本應(yīng)與被測量價值相關(guān)的潛在損失相平衡；e) 可驗證：第三方評審者應(yīng)能評估數(shù)據(jù)，并能重現(xiàn)結(jié)果；f) 有意義：數(shù)據(jù)應(yīng)提供與一段時間內(nèi)所應(yīng)用控制措施和控制目標(biāo)相關(guān)的有意義信

40、息，使得能夠?qū)ψ兏绊懟蚪Y(jié)果一致性進(jìn)行評估；g) 實用：結(jié)果應(yīng)支持使命、財務(wù)和運行的決策；h) 不可分： 數(shù)據(jù)應(yīng)該在可能的最細(xì)、不可分解的級別下被收集；i) 良好定義：在7.5中所描述的詳細(xì)模板中記錄；以及j) 可重復(fù)：測量應(yīng)產(chǎn)生可比較和可再生的結(jié)果。7.7 數(shù)據(jù)收集、分析和報告應(yīng)該建立或剪裁測量數(shù)據(jù)收集、分析和報告的過程，如果存在這樣的過程。如果需要，還應(yīng)該建立提供支持的工具和技術(shù)。這些過程、工具和技術(shù)可以滿足以下測量相關(guān)的活動：a) 數(shù)據(jù)收集，包括存儲和驗證。規(guī)程應(yīng)詳細(xì)說明數(shù)據(jù)是如何被收集和區(qū)分的，以及這些數(shù)據(jù)將怎樣和在哪里被存儲。數(shù)據(jù)驗證可能會通過審計來完成。自動化工具能被用來支持這些規(guī)

41、程；b) 數(shù)據(jù)分析，以及測量的報告。規(guī)程應(yīng)詳細(xì)說明數(shù)據(jù)收集方法、頻率、格式，以及報告信息產(chǎn)品的方法。應(yīng)該識別哪些工具可以被用來執(zhí)行數(shù)據(jù)分析。報告格式的范例包括：a) 通過整合高級別指標(biāo)提供戰(zhàn)略信息的記分卡；b) 執(zhí)行和運行的儀表板，不是集中在戰(zhàn)略目標(biāo)，而更關(guān)注特定控制措施和過程的有效性。儀表板可能會使用一系列的顏色來溝通結(jié)果例如，從黑色（0）到淺綠色（100），但是請注意5.3.3中表3有關(guān)使用顏色的說明；c) 報告，從簡單和統(tǒng)計性的，比如一個給定時間段的測度列表，到更為復(fù)雜的交叉表，這種交叉表包括內(nèi)嵌組、滾動總結(jié)、動態(tài)透視或鏈接。報告最好被用在用戶需要以一種易讀的格式看原始數(shù)據(jù)時；以及d)

42、量表來表示動態(tài)的數(shù)據(jù)值包括警報、附加的圖形元素，以及端點的標(biāo)記。7.8 記錄測量的完整方法應(yīng)被記錄在一個實施計劃中。實施計劃應(yīng)至少包括以下信息：a) 測量的意圖；b) 將被測量的控制措施和控制目標(biāo)；c) 測量對象；d) 將被收集和使用的測度；e) 數(shù)據(jù)收集過程；f) 數(shù)據(jù)分析和報告過程，包括報告格式；g) 利益相關(guān)方的角色和責(zé)任；以及h) 測度評審的周期，以確保測量與信息安全管理體系和業(yè)務(wù)目標(biāo)保持同步。8. 測量運行8.1 概述信息安全測量的運行包括收集、存儲和驗證被用來創(chuàng)建信息安全測度的數(shù)據(jù)。它也包括一些必要的活動，這些活動保證所收集的測量被用來獲得對信息安全管理體系有效性的理解，以及識別適

43、當(dāng)?shù)母倪M(jìn)措施。本階段包括以下活動：a) 將測量規(guī)程整合進(jìn)整個信息安全管理體系的運行；以及b) 收集、存儲和驗證數(shù)據(jù)。8.2 規(guī)程整合信息安全測量項目應(yīng)被信息安全管理體系充分地整合和使用，包括：a) 在信息安全管理體系背景下，定義和記錄關(guān)于開發(fā)、實施和維護(hù)信息安全測量的角色和職責(zé)；b) 數(shù)據(jù)生成與收集，包括變更現(xiàn)有過程以容納數(shù)據(jù)生成與收集活動；c) 向利益相關(guān)方溝通數(shù)據(jù)收集活動的改變，以保證數(shù)據(jù)收集人的能力，包括他們對所要求數(shù)據(jù)類型、數(shù)據(jù)收集工具、數(shù)據(jù)收集規(guī)程的理解。增強信息收集人的能力將有助于提高數(shù)據(jù)收集質(zhì)量，以及測量對組織的用處；d) 數(shù)據(jù)分析和報告應(yīng)被整合進(jìn)相關(guān)過程，以保證這些過程的常規(guī)性

44、能；e) 策略和規(guī)程，它們定義了組織內(nèi)測量的使用，測量信息的發(fā)布，以及信息安全測量項目的審計和評審；f) 一個監(jiān)控測量的過程，以評價測量的使用情況；g) 一個去除測量和增加新測量的過程，以確保測量隨組織不斷演進(jìn)；以及h) 一個確定用于趨勢分析的歷史數(shù)據(jù)有用期的過程。8.3 數(shù)據(jù)收集和處理數(shù)據(jù)收集過程包括：a) 所需要的數(shù)據(jù)應(yīng)根據(jù)實施計劃中定義的過程，使用指定的測量方法按照常規(guī)間隔來收集；b) 記錄數(shù)據(jù)收集，包括：1) 數(shù)據(jù)收集的日期、時間、地點；2) 信息收集者；3) 信息所有者；4) 數(shù)據(jù)收據(jù)過程中發(fā)生的任何問題；以及5) 數(shù)據(jù)驗證和測量證實的信息；以及c) 根據(jù)屬性證實準(zhǔn)則，驗證所收集的數(shù)

45、據(jù)應(yīng)對所收集數(shù)據(jù)進(jìn)行整理，并以有助于數(shù)據(jù)分析和報告的格式來存儲。所存儲的數(shù)據(jù)應(yīng)帶有必要的背景信息。9. 測量分析和報告9.1 概述測量應(yīng)該被分析和報告。這個階段包括以下活動：a) 分析數(shù)據(jù)和產(chǎn)生測量結(jié)果；以及b) 向利益相關(guān)方溝通測量結(jié)果。9.2 分析數(shù)據(jù)和產(chǎn)生測量結(jié)果收集的數(shù)據(jù)應(yīng)該基于決策準(zhǔn)則被分析和解釋。數(shù)據(jù)在分析之前可以被聚合、轉(zhuǎn)換或再次編碼，在數(shù)據(jù)處理期間將產(chǎn)生計劃中的指標(biāo)。很多種分析技術(shù)能被應(yīng)用。分析的深度應(yīng)該根據(jù)數(shù)據(jù)的自身特性和信息需要來確定。執(zhí)行統(tǒng)計分析的指南參見ISO TR 10017:2003。數(shù)據(jù)分析的結(jié)果應(yīng)該被解釋。分析結(jié)果的人（溝通者）應(yīng)該能基于結(jié)果給出一些初始結(jié)論。但

46、是溝通者可能不會直接涉及技術(shù)和管理過程，這些結(jié)論需要由其他利益相關(guān)方進(jìn)行評審。所有的解釋都應(yīng)該考慮測度的背景。數(shù)據(jù)分析應(yīng)識別實際性能和期望性能間的差距。這種分析將指出可能需要改進(jìn)的相關(guān)測量對象、控制目標(biāo)及控制措施，以改進(jìn)信息安全性能。對那些顯示出不符合或性能差的指標(biāo)，應(yīng)該識別其原因，可能包括以下幾類：a) 實施失敗造成的不符合被期望實施的控制措施或信息安全管理體系過程，或者沒有被實施，或者在實施、運行和管理上不充分；b) 無效控制措施或信息安全管理體系過程1) 控制措施或信息安全管理體系過程已被正常實施、運行和管理，但不能應(yīng)對所預(yù)計的威脅；2) 控制措施或信息安全管理體系過程已被實施，但沒有被

47、正常運行和管理。c) 風(fēng)險處置失?。嚎刂拼胧┗蛐畔踩芾眢w系過程已被正常實施、運行和管理，但可以被威脅繞過；以及d) 風(fēng)險評估失?。?) 控制措施或信息安全管理體系過程已被正常實施、運行和管理，但不能應(yīng)對實際威脅，因為威脅范圍太大；2) 控制措施或信息安全管理體系過程未被實施，因為風(fēng)險評估過程中忽視了一些威脅；以及3) 控制措施或信息安全管理體系過程已被實施但無效，因為風(fēng)險評估過程中忽視了一些威脅。數(shù)據(jù)分析結(jié)果、指標(biāo)、與決策準(zhǔn)則相關(guān)的解釋，以及相關(guān)的支持信息構(gòu)成了測量結(jié)果?？偨Y(jié)測量結(jié)果的報告，應(yīng)根據(jù)實施計劃，使用適當(dāng)?shù)膱蟾娓袷剑ㄒ?.7）來準(zhǔn)備。分析的結(jié)論應(yīng)被利益相關(guān)方評審，以保證對數(shù)據(jù)的適

48、當(dāng)解釋。數(shù)據(jù)分析的結(jié)果應(yīng)被記錄，以便向各利益相關(guān)方進(jìn)行溝通。9.3 溝通結(jié)果負(fù)責(zé)分析數(shù)據(jù)和報告結(jié)果的人員或組織單位（溝通者）應(yīng)該決定如何溝通信息安全測量結(jié)果，包括：a) 哪些測度在內(nèi)部和外部報告；b) 針對各利益相關(guān)方和興趣相關(guān)方的測度列表；c) 報告結(jié)構(gòu)，被提供的特定測度，以及展示類型都應(yīng)被剪裁以適合各個組的需求；以及d) 各利益相關(guān)方之間交換反饋意見的方式，用來評價信息產(chǎn)品和測量過程；測量結(jié)果應(yīng)該與一系列的內(nèi)部利益相關(guān)方溝通，包括但不限于：a) 負(fù)責(zé)風(fēng)險管理過程的人員，特別是在發(fā)現(xiàn)風(fēng)險評估或風(fēng)險處置失敗之處；b) 管理層，為了識別有待改進(jìn)之處；c) 提供任何反饋的信息擁有者。測量可能需要發(fā)

49、布給外部利益相關(guān)方，包括上級單位、股東、顧客和供應(yīng)商。外部報告不應(yīng)像內(nèi)部報告那樣詳細(xì)，應(yīng)僅包含適合外部使用的數(shù)據(jù)。外部報告在發(fā)布之前，應(yīng)由組織內(nèi)的管理層和其他適當(dāng)方進(jìn)行評審。10. 測量項目評價和改進(jìn)10.1 概述測量項目應(yīng)該被評價和改進(jìn)，以確保測量項目：a) 以一種有用和有效的方式，持續(xù)滿足組織對信息安全測量的要求；b) 是否按計劃執(zhí)行；c) 符合對威脅和脆弱性的變更；以及d) 符合對環(huán)境的變更（例如：需求、法律和技術(shù)）。證實的結(jié)果應(yīng)能提供清晰的指示，關(guān)于對當(dāng)前信息安全測量項目滿足組織要求的程度，以及是否需要對測量項目作改進(jìn)。結(jié)果的實用性和獲取它們的成本應(yīng)依據(jù)測量項目的目標(biāo)進(jìn)行評價。評價的結(jié)

50、果應(yīng)該有助于決定是否當(dāng)前信息安全測量項目滿足組織要求的程度，或者是否需要作改進(jìn)。組織應(yīng)明確評價的頻率，計劃周期性修訂的時間段，并建立做這些可能修訂的機制。下面的步驟應(yīng)被遵循：a) 識別測量項目的評價準(zhǔn)則（見10.2）；b) 監(jiān)控、評審和評價測量（見10.3）；以及c) 實施改進(jìn)（見10.4）。10.2 識別測量項目的評價準(zhǔn)則在初步實施后，組織評價測量結(jié)果的實用性和有效性，以及獲取測量結(jié)果所需要的投入。測量結(jié)果能被評價前就應(yīng)該建立評價準(zhǔn)則。評價的目的是評估修改或改進(jìn)測量項目的必要性。除了內(nèi)部信息安全管理體系審計外，還可以進(jìn)行外部審計來提供獨立的第三方評估。組織應(yīng)為審計確定適當(dāng)?shù)臅r間，以保證它們不

51、會嚴(yán)重地干擾運行。當(dāng)有如下最有可能的條件出現(xiàn)時，組織應(yīng)該再次評價并改進(jìn)當(dāng)前的信息安全測量項目：a) 業(yè)務(wù)目標(biāo)和要求的變更；b) 威脅環(huán)境的變更；c) 風(fēng)險的變更；d) 用于測量的更完善或合適數(shù)據(jù)的增多；e) 在組織的背景下，被用來測量的測量對象和屬性的變更；以及f) 法律、法規(guī)和其它外部要求的變更。以下準(zhǔn)則可以用來評價測量結(jié)果：a) 測量結(jié)果對于改進(jìn)信息安全是有用的；b) 測量結(jié)果符合信息需要。如果收集的測量結(jié)果在整體上對于改進(jìn)組織的信息安全是有用的，那么測量項目是有效的。10.3 監(jiān)控、評審與評價測量項目在依據(jù)10.2的準(zhǔn)則初步實施后，以及在基礎(chǔ)系統(tǒng)或相應(yīng)業(yè)務(wù)目標(biāo)發(fā)生重大變更時，包括所有的測

52、度、指標(biāo)、決策準(zhǔn)則和測量結(jié)果在內(nèi)的測量項目，應(yīng)該被監(jiān)控、評審和評價。潛在的改進(jìn)可以被識別，包括：a) 按照已建立的準(zhǔn)則修正測度；b) 去除或替換不再適合的測度、指標(biāo)和決策準(zhǔn)則；c) 確保分配充足的資源來支持測量項目；d) 識別測量項目所需的改進(jìn)，并計劃實施；e) 記錄管理層的決策，以允許以后各測量的比較和趨勢分析。監(jiān)控、評審和評價測量項目的結(jié)果應(yīng)該向管理層溝通，以便對必要的改進(jìn)和測度今后的使用做出決策。管理層的決策和測量項目改進(jìn)的結(jié)果應(yīng)該向合適的利益相關(guān)者溝通。利益相關(guān)者應(yīng)該根據(jù)測度對其的有用性給出反饋，這種反饋將為信息安全測量項目的評價提供輸入。10.4 實施改進(jìn)已識別的改進(jìn)應(yīng)被管理層正式記錄和批準(zhǔn)。管理層應(yīng)保證按計劃實施改進(jìn)。組織可以使用項目管理技術(shù)來完成改進(jìn)。附錄A（資料性附錄）信息安全測量模板附錄A提供了信息安全測量的模板，包含了5.3節(jié)描述的需要在7.5節(jié)識別的所有組件。組織可以根據(jù)自己的需求修改該模板。測度識別測度名測度名數(shù)字識別碼特定組織的唯一識別碼