NIST80055信息技術(shù)系統(tǒng)的安全指南2003－7上課講義

1、Good is good, but better carries it.精益求精，善益求善。NIST80055信息技術(shù)系統(tǒng)的安全指南20037NISTSpecialPublication800-55信息技術(shù)系統(tǒng)的安全指南20037目錄TOCo1-3hzuHYPERLINKl_Toc1307820501.引言PAGEREF_Toc130782050h1HYPERLINKl_Toc1307820512.任務(wù)和責(zé)任PAGEREF_Toc130782051h5HYPERLINKl_Toc1307820523.信息安全度量背景PAGEREF_Toc130782052h9HYPERLINKl_Toc130

2、7820534.度量發(fā)展和執(zhí)行過(guò)程PAGEREF_Toc130782053h15HYPERLINKl_Toc130782054附錄A:安全度量的實(shí)例PAGEREF_Toc130782054h29引言測(cè)量信息技術(shù)安全性能的要求是由調(diào)整的、金融的以及組織的要求提出的。許多現(xiàn)存的法律、規(guī)則、章程都通常引用IT的性能度量，尤其是作為一種要求的信息技術(shù)安全性能測(cè)量。這些法規(guī)包括Clinger-CohenAct,GovernmentPerformance，ResultsAct(GPRA),GovernmentPaperworkEliminationAct(GPEA),和FederalInformation

3、SecurityManagementAct(FISMA)。本文件是信息技術(shù)系統(tǒng)級(jí)別度量的發(fā)展、選擇和執(zhí)行的一個(gè)向?qū)?，該度量用于測(cè)量信息安全控制和技術(shù)的性能1。信息技術(shù)度量通過(guò)收集、分析和報(bào)告相關(guān)的性能數(shù)據(jù)，從而推動(dòng)制定決策、改進(jìn)性能和責(zé)任。本文件闡述了一個(gè)組織如何通過(guò)使用度量來(lái)鑒別一個(gè)安全控制、政策和程序是否合適。它提供了一種方法幫助決策將額外的安全保護(hù)資源投放到何處以及評(píng)價(jià)和鑒別非生產(chǎn)的控制。它揭示了度量的發(fā)展和執(zhí)行的程序，以及怎樣用于充分地評(píng)價(jià)安全控制的投入。有效的信息技術(shù)安全度量提供有用的數(shù)據(jù)來(lái)指導(dǎo)信息安全資源的配置，也可以簡(jiǎn)化相關(guān)性能報(bào)告的準(zhǔn)備。該項(xiàng)目的成功執(zhí)行可以幫助代理滿足Offi

4、ceofManagementandBudget(OMB)每年報(bào)告信息安全項(xiàng)目現(xiàn)況的要求。歷史度量信息安全控制和技術(shù)的方法已經(jīng)很多年顯影不足了。本文基于以往的努力，提出了一種將NationalInstituteofStandardsandTechnology(NIST)SpecialPublication(SP)800-26,SecuritySelf-AssessmentGuideforInformationTechnologySystems中的安全控制目標(biāo)和技術(shù)結(jié)合進(jìn)來(lái)的方法。關(guān)于系統(tǒng)和項(xiàng)目的安全控制目標(biāo)和技術(shù)每年都會(huì)向OMB回顧和報(bào)告，以保持和包含了FISMA的ElectronicGover

5、nmentActof2002的一致性。該法案要求部門和代理保證滿足可應(yīng)用的安全要求，以及根據(jù)每年的項(xiàng)目回顧證明其真實(shí)的性能水平。2002年5月21日，NISTFederalComputerSecurityProgramManagersForum發(fā)1.“系統(tǒng)”一次是一個(gè)匯集性的術(shù)語(yǔ)，可以表示(OMB)CircularA-130,AppendixIII.中定義的MajorApplications(MA)和GeneralSupportSystems(GSS)。起兩個(gè)信息安全度量以幫助聯(lián)邦職員起草OMB財(cái)政年度2002GovernmentInformationSecurityReformAct(GIS

6、RA)的報(bào)告。GISRA,是PublicLaw106398,FloydD.SpenceNationalDefenseAuthorizationActforFiscalYear2001的一部分，被FISMA在2002年12月所替代。大約75個(gè)聯(lián)邦政府職員參加了該項(xiàng)目，在這里他們研究如何發(fā)展基于NISTSP800-26的信息安全度量。該文件，NISTSP800-55,包含了該項(xiàng)目的進(jìn)程，包括由突破小組提出的最初度量；擴(kuò)展了該項(xiàng)目小組提出的主題；并且提出了度量的示例以及使用度量的執(zhí)行指導(dǎo)。1.2安全項(xiàng)目綜述一個(gè)組織的安全度量應(yīng)該包括4個(gè)相互關(guān)聯(lián)的因素（見(jiàn)圖1-1）。一個(gè)強(qiáng)壯的高水準(zhǔn)的管理支持的基礎(chǔ)是

7、急需的，不僅僅為了安全項(xiàng)目的成功，同時(shí)也是為了安全度量項(xiàng)目的執(zhí)行。這種支持將焦點(diǎn)放在了組織中最高級(jí)別的安全上。如果沒(méi)有一個(gè)堅(jiān)固的基礎(chǔ)（例如，給那些控制IT資源人員的前攝支持），這個(gè)安全度量項(xiàng)目的有效性將會(huì)在政治和預(yù)算的限制下失敗。一個(gè)有效的安全度量項(xiàng)目的第二個(gè)因素是由權(quán)威支持的實(shí)用的安全政策和程序以保證其權(quán)威性。實(shí)用的安全政策和程序應(yīng)當(dāng)是力所能及的并且通過(guò)適當(dāng)?shù)目刂瓶梢蕴峁?qiáng)大的安全。如果沒(méi)有合適的程序，度量是很難做到的。第三，為了獲得和提供有意義的性能數(shù)據(jù)，需要建立可計(jì)量的性能度量。而且，要提供有意義的數(shù)據(jù)，可計(jì)量的安全度量必須以信息安全性能為目標(biāo)，同時(shí)也需要具有可行性，能夠容易做到。它應(yīng)該

8、是可重復(fù)的，能夠提供性能的走勢(shì)，而且，能夠跟蹤性能和指引資源配置。最后，安全度量項(xiàng)目必須強(qiáng)調(diào)對(duì)測(cè)量數(shù)據(jù)定期的分析，以彌補(bǔ)已得到的教訓(xùn)，改進(jìn)現(xiàn)有安全控制的性能，部署未來(lái)的控制計(jì)劃，以滿足各種新出現(xiàn)的安全要求。正確的數(shù)據(jù)收集必須保證對(duì)項(xiàng)目干系人和使用者的優(yōu)先權(quán)，以使收集的數(shù)據(jù)是對(duì)整個(gè)安全項(xiàng)目的管理和改進(jìn)是意義重大的。一個(gè)信息安全項(xiàng)目執(zhí)行的成功與否應(yīng)該由其執(zhí)行結(jié)果的效用程度來(lái)評(píng)判。一個(gè)全面的安全度量項(xiàng)目應(yīng)該提供足夠的理由，以達(dá)成能夠直接影響組織情況的決議。這些決議包括預(yù)算、人事需求以及對(duì)可利用資源的配置。安全度量應(yīng)該為安全性能相關(guān)報(bào)告的準(zhǔn)備提供精確的基礎(chǔ)。和其他NIST文件的關(guān)系本文件是NIST系列

9、專刊的一個(gè)后續(xù)。NIST旨在幫助信息安全項(xiàng)目中的制定、執(zhí)行和維護(hù)人員。NISTSP800-26確定了5個(gè)管理控制的主題，9個(gè)運(yùn)行控制的主題和3個(gè)技術(shù)控制的主題以改變一個(gè)組織的安全情況。本文件提供了一種被推薦的方法來(lái)量化NISTSP800-26中的關(guān)鍵部分以及確定系統(tǒng)安全控制目標(biāo)和技術(shù)的執(zhí)行和有效性。1.4讀者本文件的指導(dǎo)是為各種級(jí)別的信息管理者和安全專家提供，包括政府內(nèi)和政府外的。1.5文件結(jié)構(gòu)以下的討論分為如下幾個(gè)部分：第二部分任務(wù)和責(zé)任。描述了代理職員的任務(wù)和責(zé)任，他們對(duì)整個(gè)信息安全項(xiàng)目的成功和安全度量項(xiàng)目的建立有直接的關(guān)系。第三部分信息安全度量背景。提供了安全度量、執(zhí)行利益、各種類型的安

10、全度量和直接影響安全度量項(xiàng)目成功的因素的相關(guān)背景和定義。第四部分度量發(fā)展。介紹了用于信息安全度量發(fā)展的方法。第五部分度量項(xiàng)目執(zhí)行。討論了可以影響安全度量項(xiàng)目的技術(shù)執(zhí)行的各種因素。本向?qū)瑫r(shí)包含了3個(gè)附錄。附錄A計(jì)算機(jī)安全度量示例，提供了安全度量的應(yīng)用示例，它們可以被使用或修改以滿足特殊代理的需求。附錄B提供了本文件中出現(xiàn)的縮寫詞的清單。附錄C是參考材料清單。2.任務(wù)和責(zé)任本部分略述了發(fā)展和執(zhí)行信息安全度量的主要任務(wù)和責(zé)任。2.1代理領(lǐng)導(dǎo)代理領(lǐng)導(dǎo)要對(duì)整個(gè)組織的IT下部組織的安全情況負(fù)責(zé)。他要控制安全預(yù)算，對(duì)資源配置有最終管理權(quán)。代理領(lǐng)導(dǎo)有如下關(guān)于信息安全性能度量的責(zé)任。對(duì)信息安全度量的發(fā)展和執(zhí)行

11、做出示范支持，要溝通代理機(jī)構(gòu)的職務(wù)支持。保證項(xiàng)目擁有足夠的財(cái)政和人力資源。在整個(gè)代理機(jī)構(gòu)中積極促進(jìn)信息安全度量成為信息安全性能改進(jìn)的核心。制定相關(guān)政策以制定度量和促進(jìn)度量的發(fā)展和執(zhí)行。激勵(lì)項(xiàng)目管理者，保證他們發(fā)揚(yáng)和使用度量以支持信息安全項(xiàng)目。2.2首席信息官InformationTechnologyManagementReformActof1996（我們常說(shuō)的Clinger-CohenAct)要求代理任命首席安全官(CIOs)并且使用商業(yè)過(guò)程和性能測(cè)量來(lái)保證有效的IT獲得和執(zhí)行。CIO有如下信息安全度量的相關(guān)責(zé)任：通過(guò)正式的領(lǐng)導(dǎo)關(guān)系來(lái)示范管理者對(duì)信息安全度量發(fā)展和執(zhí)行的責(zé)任。正式傳達(dá)使用信息安

12、全度量的重要性，使用信息安全度量是為了監(jiān)控整個(gè)信息安全度量項(xiàng)目的健康發(fā)展以及遵守應(yīng)用的章程。為項(xiàng)目分配足夠的財(cái)政和人力資源。和項(xiàng)目管理者/系統(tǒng)所有者溝通以提高度量的贊成度，為項(xiàng)目提供支持。授權(quán)信息安全度量收集。有規(guī)律的回顧信息安全度量，并且使用信息安全測(cè)量數(shù)據(jù)以幫助制定政策，分配資源，制定預(yù)算，以及理解信息安全項(xiàng)目的現(xiàn)況。保證有適當(dāng)?shù)某绦騺?lái)處理度量分析夠得出的問(wèn)題并且采取相應(yīng)的糾正手段，比如修改安全程序和對(duì)員工提供額外的安全訓(xùn)練。為度量的制定、執(zhí)行、發(fā)展制定相關(guān)的官方政策、程序和向?qū)А?.3AgencyITSecurityProgramManager2這個(gè)職位以不同的名稱被人們所知，例如Dep

13、utyCIOforCyberSecurity,DeputyCIOforITSecurity,或者InformationSystemSecurityOfficer(ISSO)。他的首要責(zé)任是信息安全的代理。SecurityProgramManager有以下關(guān)于信息安全度量的責(zé)任。領(lǐng)導(dǎo)信息安全度量項(xiàng)目發(fā)展的執(zhí)行。為度量的發(fā)展、建立和分析，要確保在整個(gè)代理中實(shí)行一個(gè)標(biāo)準(zhǔn)化的過(guò)程。引導(dǎo)發(fā)展信息安全度量相關(guān)的內(nèi)部政策或向?qū)?。為?xiàng)目發(fā)展和執(zhí)行得到有資格的政府職員或承包商的支持。為項(xiàng)目發(fā)展和執(zhí)行獲得足夠的財(cái)政資源。在項(xiàng)目執(zhí)行的每一步都要積極的向項(xiàng)目管理者/系統(tǒng)所有者索要和提供反饋。2.在FISMA中這個(gè)職位

14、被命名為SeniorAgencyInformationSecurityOfficer保證測(cè)量數(shù)據(jù)的收集，分析以及向CIO和代理項(xiàng)目管理者/系統(tǒng)所有者的報(bào)告。規(guī)律性的回顧信息安全度量，并且使用信息安全測(cè)量數(shù)據(jù)，以支持相關(guān)政策、資源配置、預(yù)算決議以及對(duì)信息安全項(xiàng)目健康狀態(tài)的觀察。為制定政策、資源配置、預(yù)算決議，訓(xùn)練項(xiàng)目管理者/系統(tǒng)所有者使用信息安全度量的結(jié)果。保證對(duì)項(xiàng)目足夠的維護(hù)，在項(xiàng)目中已達(dá)到其性能指標(biāo)的度量將被淘汰，新的度量將建立和使用。通過(guò)限制每次在每個(gè)單獨(dú)測(cè)量點(diǎn)上收集的度量數(shù)目在10到20之間以保證項(xiàng)目容易管理。保證對(duì)優(yōu)先的條款和問(wèn)題要有優(yōu)先的度量。通過(guò)測(cè)量信息安全性能，要執(zhí)行相應(yīng)的修改。

15、2.4項(xiàng)目管理者/系統(tǒng)所有者信息和系統(tǒng)所有者要確保有合適的控制以保證IT系統(tǒng)和所有者的數(shù)據(jù)的機(jī)密性、完整性和有效性。項(xiàng)目管理者/系統(tǒng)所有者有如下關(guān)于信息安全度量的責(zé)任：通過(guò)提供關(guān)于數(shù)據(jù)收集可行性的反饋來(lái)參與信息安全度量項(xiàng)目的發(fā)展和執(zhí)行；鑒定數(shù)據(jù)資源和存儲(chǔ)。對(duì)員工進(jìn)行信息安全度量的發(fā)展、收集和分析的教育，以及它是如何影響信息安全政策、要求、資源配置和預(yù)算決議的。確保測(cè)量數(shù)據(jù)堅(jiān)持而正確的收集并且提供給分析和匯報(bào)數(shù)據(jù)的指定員工。當(dāng)需要時(shí)，指揮員工之間全部共享和協(xié)作。規(guī)律性的回顧信息安全測(cè)量數(shù)據(jù)，并將其使用于制定政策、配置資源和預(yù)算決議。通過(guò)測(cè)量信息安全性能，要執(zhí)行相應(yīng)的修改。2.5SystemSec

16、urityOfficer本文件中出現(xiàn)的SystemSecurityOfficer一詞可以理解為：為一個(gè)代理或者部門的特殊項(xiàng)目或系統(tǒng)指派的負(fù)責(zé)其安全的人員。SystemSecurityOfficer有如下關(guān)于信息安全度量的責(zé)任：管理日常的項(xiàng)目發(fā)展和執(zhí)行。為負(fù)責(zé)收集、分析和匯報(bào)數(shù)據(jù)的員工收集或提供測(cè)量數(shù)據(jù)。通過(guò)測(cè)量信息安全性能，要執(zhí)行相應(yīng)的修改。3.信息安全度量背景本部分描述了什么是度量和為什么要測(cè)量信息安全性能。另外，本部分說(shuō)明了幾種可以測(cè)量信息安全控制的度量，討論了制定一個(gè)成功度量的重要因素，闡明了度量對(duì)管理、報(bào)告和決策的不同作用。3.1定義制定度量是為了通過(guò)收集、分析和報(bào)告性能相關(guān)的數(shù)據(jù)，以

17、推動(dòng)制定政策、改進(jìn)性能和責(zé)任。測(cè)量性能的目的是在觀察測(cè)量結(jié)果的基礎(chǔ)上，通過(guò)采取糾正手段，來(lái)監(jiān)控所測(cè)行為的狀態(tài)，并推動(dòng)對(duì)其的改進(jìn)。在一個(gè)組織中，信息安全度量可以在不同水平上獲得。系統(tǒng)級(jí)別上收集到的逐條的度量，可以依靠組織的規(guī)模和復(fù)雜度匯聚成一個(gè)更高水平的度量。有時(shí)針對(duì)更多的逐條的和匯聚起來(lái)的度量需要用到更多不同的術(shù)語(yǔ)時(shí)，比如“metrics”和“measures,”本文件將交替的使用這些術(shù)語(yǔ)。信息安全度量必須基于信息安全性能短期和最終目標(biāo)。信息安全性能的最終目的表述了系統(tǒng)安全項(xiàng)目執(zhí)行所渴望得到的結(jié)果。例如，“所有的職工都得到了足夠的安全意識(shí)訓(xùn)練?！毙畔踩阅艿亩唐谀繕?biāo)通過(guò)完成由安全政策和程序定

18、義的行為來(lái)促成最終目標(biāo)的完成，這些政策和程序指引了整個(gè)組織中安全控制的貫徹執(zhí)行。對(duì)應(yīng)于以上關(guān)于最終目標(biāo)的例子，關(guān)于信息安全性能短期目標(biāo)的例子是：“所有新員工得到了新員工訓(xùn)練，”“員工訓(xùn)練包括行為規(guī)范的概要，”“員工訓(xùn)練概括和涉及到組織的安全政策和程序。”信息安全度量通過(guò)量化安全控制的執(zhí)行程度以及其有效性和效率，分析所采取安全措施的足夠性，確定可能的糾正措施來(lái)促成短期和最終目標(biāo)的達(dá)成。隨著度量的發(fā)展，來(lái)自聯(lián)合的、內(nèi)部的、外部的向?qū)е械?，法律中的和章程中的短期和最終目標(biāo)將被鑒別并按優(yōu)先權(quán)區(qū)分以保證安全性能中可測(cè)量的方面對(duì)應(yīng)組織中運(yùn)行的優(yōu)先權(quán)。信息安全度量必須得到可計(jì)量的數(shù)據(jù)信息，從而滿足比較的目的

19、，能夠應(yīng)用公式來(lái)分析，能夠利用參照物的相同點(diǎn)來(lái)跟蹤其變化。百分?jǐn)?shù)和平均數(shù)是常用到的，絕對(duì)數(shù)值有時(shí)也是有用的，采用何種形式完全根據(jù)被測(cè)對(duì)象的屬性。計(jì)算所需的測(cè)量數(shù)據(jù)必須是容易得到的，值得考慮的方法也必須是可以測(cè)量的。只有那些相容的和可復(fù)用的方法值得考慮用于測(cè)量。盡管方法可能是可復(fù)用和穩(wěn)定的，測(cè)量數(shù)據(jù)卻可能難以得到。通過(guò)吸收其他地方可能用到的資源，測(cè)量必須使用容易得到的數(shù)據(jù)以保證組織的測(cè)量的負(fù)擔(dān)不會(huì)過(guò)大以至于無(wú)法完成測(cè)量目的。為了跟蹤性能和指引資源配置，度量應(yīng)當(dāng)隨時(shí)間推移提供相關(guān)的性能趨勢(shì)，并且指出可以解決問(wèn)題的改進(jìn)方案。使用度量應(yīng)當(dāng)能夠評(píng)價(jià)性能，通過(guò)回顧測(cè)量趨勢(shì)，鑒定和區(qū)分糾正措施的優(yōu)先性，指引

20、那些糾正措施的應(yīng)用，而這些糾正措施是建立在緩解風(fēng)險(xiǎn)和可用資源的基礎(chǔ)上的。在第4部分中描述的度量發(fā)展的程序，保證了度量的目的是為了確定導(dǎo)致低性能的原因從而指出合適的糾正措施。3.2使用度量的好處安全度量項(xiàng)目為組織和財(cái)政提供了很多的益處。組織可以通過(guò)信息安全度量改進(jìn)安全責(zé)任。通過(guò)數(shù)據(jù)收集和匯報(bào)的過(guò)程，可以精確的查處技術(shù)、運(yùn)行或管理上的沒(méi)有或者錯(cuò)誤執(zhí)行的控制。信息安全度量可以被創(chuàng)建以測(cè)量組織安全的每個(gè)方面。例如，風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全測(cè)試和評(píng)估以及其他安全相關(guān)的測(cè)試結(jié)果都可以被量化并作為測(cè)量的數(shù)據(jù)資源使用。通過(guò)使用度量分析的結(jié)果，項(xiàng)目管理人和系統(tǒng)所有者可以將問(wèn)題隔離，并使用收集的數(shù)據(jù)判斷投資需求，

21、然后將投資方向指定在需要改進(jìn)的地方。通過(guò)使用度量來(lái)確定投資目標(biāo)，組織可以用有限的可用資源獲取最大的利益。部門和代理機(jī)構(gòu)可以通過(guò)執(zhí)行和維護(hù)本文件中描述的信息安全度量來(lái)保證對(duì)法律、法規(guī)、章程的遵守。使用信息安全度量，可以通過(guò)陳述對(duì)過(guò)去的和當(dāng)前的財(cái)政年度的表現(xiàn)度量，以使每年都需要的FISMA報(bào)告更加令人滿意。另外，信息安全度量可以作為GeneralAccountingOffice(GAO)和InspectorsGeneral(IG)審計(jì)的輸入。信息安全度量項(xiàng)目的執(zhí)行將會(huì)向前攝安全證明代理的承擔(dān)義務(wù)。它也將極大的減少代理收集數(shù)據(jù)的時(shí)間，而這項(xiàng)任務(wù)又是GAOandIG審計(jì)時(shí)為以后補(bǔ)充數(shù)據(jù)所例行要求的。信

22、息安全度量項(xiàng)目的執(zhí)行，意味著要求的數(shù)據(jù)開始被作為日常度量項(xiàng)目運(yùn)行的一部分被跟蹤，收集和分析。財(cái)政的約束以及市場(chǎng)的限制迫使政府和產(chǎn)業(yè)采取縮減預(yù)算的政策。在這種情況下，在信息安全的下層機(jī)構(gòu)很難得到廣泛的正確的投資。以前對(duì)信息安全特殊領(lǐng)域投資的爭(zhēng)論缺乏細(xì)節(jié)和特異性，并且不能充分減少特殊的系統(tǒng)風(fēng)險(xiǎn)。信息安全度量的使用容許組織測(cè)量過(guò)去和現(xiàn)有的安全投資的成功和失敗，并且可以提供可以測(cè)量的數(shù)據(jù)為支持今后投資的資源配置。通過(guò)信息安全行為的相關(guān)結(jié)果（比如事故數(shù)據(jù)，由計(jì)算機(jī)攻擊造成的稅收損失），信息安全度量也可以提高被執(zhí)行的信息安全度量、程序和控制的決定有效性，這種有效性將作用于各個(gè)方面的需求和信息安全的投資。3

23、.3度量類型一個(gè)組織信息安全項(xiàng)目的成熟程度決定了可以成功集合的度量類型，如圖3-1所示。一個(gè)項(xiàng)目的成熟程度是由手續(xù)和程序的存在和制度化來(lái)定義的。一個(gè)安全項(xiàng)目成熟時(shí)，它的政策將擁有更多的細(xì)節(jié)，會(huì)有更好的文件，它所使用的程序?qū)?huì)更加標(biāo)準(zhǔn)化和制度化，它所產(chǎn)生的數(shù)據(jù)將會(huì)被更高質(zhì)量的使用于性能度量。根據(jù)NISTSP800-26，一個(gè)安全項(xiàng)目的過(guò)程包括制定政策（第一級(jí)），制定詳細(xì)的程序（第二級(jí)），執(zhí)行這些程序（第三級(jí)），測(cè)試程序的依從容性和有效性（第四級(jí)），以及最后的投入日常運(yùn)行的完整的政策和程序（第五級(jí)）。一個(gè)成熟的項(xiàng)目通常會(huì)配置多樣的跟蹤機(jī)構(gòu)來(lái)量化它表現(xiàn)的各個(gè)方面和制定文件。隨著可利用的數(shù)據(jù)越來(lái)越多，

24、測(cè)試的難度會(huì)隨之降低，自動(dòng)收集數(shù)據(jù)的能力也會(huì)隨之增加。數(shù)據(jù)收集的自動(dòng)化程度決定于可用數(shù)據(jù)是來(lái)自自動(dòng)化的資源還是來(lái)自于人。手動(dòng)的數(shù)據(jù)收集需要設(shè)計(jì)問(wèn)卷，對(duì)組織員工進(jìn)行采訪和調(diào)查。當(dāng)一個(gè)安全項(xiàng)目成熟后，通過(guò)半自動(dòng)的數(shù)據(jù)資源，比如自動(dòng)評(píng)估工具，證明和委派(C&A)數(shù)據(jù)庫(kù)，事故報(bào)告和相應(yīng)數(shù)據(jù)庫(kù)，以及其他一些數(shù)據(jù)資源，更多的數(shù)據(jù)將可被利用。當(dāng)所有的數(shù)據(jù)來(lái)自于自動(dòng)數(shù)據(jù)資源而沒(méi)有人參與和干涉時(shí)，數(shù)據(jù)資源就完全實(shí)現(xiàn)了自動(dòng)化?？梢赃_(dá)成的和對(duì)性能改進(jìn)有用的度量（執(zhí)行，有效性，效率，和影響）的類型取決于安全控制執(zhí)行的成熟程度。盡管不同的度量可以同時(shí)使用，隨著安全控制執(zhí)行的逐漸成熟，度量的側(cè)重點(diǎn)是不斷改變的。當(dāng)安全控制

25、已經(jīng)被程序所定義并且進(jìn)入執(zhí)行程序時(shí)，這時(shí)度量的側(cè)重點(diǎn)在安全控制級(jí)別上。應(yīng)用在這個(gè)級(jí)別上的執(zhí)行度量的例子有具備認(rèn)可的安全計(jì)劃的系統(tǒng)的百分?jǐn)?shù)和配置了要求的口令政策的系統(tǒng)的百分?jǐn)?shù)。當(dāng)一個(gè)系統(tǒng)從級(jí)別一進(jìn)入級(jí)別二后，這些度量執(zhí)行的結(jié)果將是低于百分之一百，這說(shuō)明系統(tǒng)還沒(méi)有到達(dá)級(jí)別三。當(dāng)度量執(zhí)行的結(jié)果到達(dá)并維持在百分之一百時(shí)，說(shuō)明系統(tǒng)已完全執(zhí)行了安全控制并且到達(dá)了級(jí)別三。當(dāng)安全控制被很好的制定文件和執(zhí)行時(shí)，可靠的收集執(zhí)行結(jié)果的能力也隨之增強(qiáng)。隨著組織的信息安全項(xiàng)目的發(fā)展和性能數(shù)據(jù)可用性的增強(qiáng)，度量將會(huì)將側(cè)重點(diǎn)放在項(xiàng)目效率安全服務(wù)交付的時(shí)間和有效性安全控制執(zhí)行的結(jié)果。當(dāng)安全進(jìn)入一個(gè)組織的過(guò)程后，這些過(guò)程將可以

26、自動(dòng)更新，測(cè)量數(shù)據(jù)的收集也會(huì)完全的自動(dòng)化，由數(shù)據(jù)關(guān)系的分析也可以確定安全相關(guān)行為的任務(wù)和商業(yè)影響。附錄A包含了執(zhí)行、效率、有效性度量的實(shí)例，它們都建立在NISTSP800-26的關(guān)鍵部分基礎(chǔ)上。級(jí)別四和級(jí)別五的度量致力于測(cè)試被執(zhí)行的安全控制的有效性和效率以及這些控制對(duì)組織任務(wù)的影響。這些度量致力于測(cè)試和綜合的證據(jù)和結(jié)果。不像以前那樣測(cè)量被認(rèn)可的安全計(jì)劃的百分?jǐn)?shù)，這些度量致力于確認(rèn)由安全計(jì)劃所描述的安全控制是否對(duì)保護(hù)組織的資產(chǎn)有效。例如，通過(guò)測(cè)量破譯一個(gè)依從政策的口令的時(shí)間長(zhǎng)度，計(jì)算在一定時(shí)間中可破譯口令的百分?jǐn)?shù)，以驗(yàn)證組織口令政策的有效性。有效的度量應(yīng)當(dāng)能夠區(qū)分事故類型（比如系統(tǒng)被入侵，口令泄

27、漏，惡意代碼，服務(wù)拒絕）并且能夠根據(jù)事故數(shù)據(jù)度量受訓(xùn)練的用戶和系統(tǒng)管理者百分?jǐn)?shù)，一次測(cè)量安全訓(xùn)練的影響程度。3.4成功因素一個(gè)信息安全度量項(xiàng)目的成功受到很多因素的影響。要促成項(xiàng)目的成功，必須使項(xiàng)目在考慮到組織結(jié)構(gòu)、過(guò)程的特殊性以及合理的資源約束的前提下運(yùn)營(yíng)和執(zhí)行。3.4.1組織注意事項(xiàng)信息安全度量的發(fā)展和項(xiàng)目的執(zhí)行必須包括系統(tǒng)涉眾。并且要包括那些不以信息安全為主要責(zé)任但是與信息安全經(jīng)常密切聯(lián)系的組織因素（例如，訓(xùn)練、資源管理、法律部門）。如果一個(gè)組織因素通常是對(duì)性能度量有責(zé)任的，信息安全度量的執(zhí)行和發(fā)展應(yīng)當(dāng)與之相協(xié)調(diào)。如果一個(gè)程序能夠廣泛推動(dòng)組織數(shù)據(jù)的調(diào)用和行為，信息安全度量的執(zhí)行和發(fā)展也應(yīng)當(dāng)

28、與之相協(xié)調(diào)。3.4.2易管理性易管理性是成功的一個(gè)非常重要的因素。許多安全行為的結(jié)果可以被量化并且用來(lái)度量性能；但是，由于資源是有限的，并且大多數(shù)資源用來(lái)改進(jìn)性能的不足，組織應(yīng)當(dāng)區(qū)分度量要求的優(yōu)先級(jí)以保證有限的度量被收集。這個(gè)數(shù)量應(yīng)當(dāng)保持在每涉眾每次5到10個(gè)度量。隨著項(xiàng)目的成熟和度量目標(biāo)的達(dá)成，舊的度量應(yīng)當(dāng)被淘汰，新的能夠測(cè)量更多現(xiàn)有項(xiàng)目的有效性和完成度的度量應(yīng)當(dāng)開展。而且當(dāng)組織任務(wù)重新定義或者安全政策和向?qū)в兴兓瘯r(shí)，也會(huì)需要有新的度量。3.4.3數(shù)據(jù)管理相關(guān)為了保證數(shù)據(jù)的質(zhì)量和有效性，數(shù)據(jù)收集的方法和用于度量數(shù)據(jù)收集和報(bào)告的數(shù)據(jù)存儲(chǔ)（直接的或作為數(shù)據(jù)資源的）應(yīng)當(dāng)是標(biāo)準(zhǔn)化的。當(dāng)主要的數(shù)據(jù)資

29、源是一個(gè)事故報(bào)告的數(shù)據(jù)庫(kù)，僅僅存儲(chǔ)了一些組織成員的信息，或者組織間的匯報(bào)程序是不一致的，這時(shí)數(shù)據(jù)的有效性是可疑的。但是匯報(bào)程序的標(biāo)準(zhǔn)化又不能被過(guò)分強(qiáng)調(diào)。當(dāng)組織發(fā)展和執(zhí)行作為信息安全度量項(xiàng)目輸入的程序時(shí)，應(yīng)當(dāng)保證數(shù)據(jù)收集和匯報(bào)的清晰定義，以方便有效數(shù)據(jù)的收集。最后，組織必須理解，雖然他們可能收集了很多的信息安全數(shù)據(jù)，并不是所有的數(shù)據(jù)對(duì)他們的度量項(xiàng)目在任何時(shí)候都是有用的。任何以信息安全度量為目的的數(shù)據(jù)收集，都必須盡可能的不受干擾，并且保證最大程度的有效性，以保證可用的資源是主要用在了問(wèn)題的收集上，而不是數(shù)據(jù)的收集。度量項(xiàng)目的建立應(yīng)當(dāng)需要足夠的投資以保證項(xiàng)目的執(zhí)行是為了獲取最大限度的利益。維持項(xiàng)目所

30、需的資源在期望中并不是非常重要的。4.度量發(fā)展和執(zhí)行過(guò)程信息安全度量項(xiàng)目的建立和運(yùn)行按照兩個(gè)過(guò)程來(lái)進(jìn)行：度量發(fā)展和度量執(zhí)行。度量發(fā)展過(guò)程主要是在特定時(shí)間為組織建立合適的初始的度量以及其子集的一部分。度量執(zhí)行過(guò)程是要運(yùn)轉(zhuǎn)一個(gè)重復(fù)性的度量并保證在特定的時(shí)期度量信息安全的某些適當(dāng)?shù)姆矫妗＿@一部分將主要描述度量發(fā)展過(guò)程，度量執(zhí)行過(guò)程將在第五部分中討論。4.1度量發(fā)展過(guò)程圖4-1顯示了信息安全度量在一個(gè)大的組織環(huán)境中的地位。用中也可以得出，信息安全度量可以被越來(lái)越多得用于測(cè)試組織或特殊系統(tǒng)信息安全活動(dòng)的執(zhí)行、有效性、效率和商業(yè)影響。信息安全度量發(fā)展過(guò)程主要包括兩個(gè)活動(dòng)：當(dāng)前信息安全項(xiàng)目的定義和鑒定，發(fā)展

31、和挑選度量以測(cè)試安全控制的執(zhí)行、有效性、效率和影響。程序的步驟并不一定按順序進(jìn)行。圖4-1中表示的程序?yàn)樘剿鞫攘亢蛯?duì)每一個(gè)系統(tǒng)鑒定其適用的度量提供了框架。度量的類型取決于系統(tǒng)處于其生命周期的那一部分以及信息安全項(xiàng)目的成熟程度。這個(gè)框架更加便利了為特殊的組織和每個(gè)組織中不同的涉眾選取相應(yīng)的度量。4.1.1涉眾興趣鑒定在度量發(fā)展過(guò)程的第一階段（見(jiàn)圖4-1），盡管有些部分比其他部分在安全上有更大風(fēng)險(xiǎn)，但組織中的任何一個(gè)人都是信息安全的涉眾。那么，信息安全的主要涉眾是？代理領(lǐng)導(dǎo)首席信息官(CIO)安全項(xiàng)目管理者/InformationSystemSecurityOfficer(ISSO)項(xiàng)目管理者/系

32、統(tǒng)所有者系統(tǒng)安全職員系統(tǒng)管理人/網(wǎng)絡(luò)管理人IT維護(hù)人員次級(jí)的安全涉眾是組織實(shí)體中那些不易安全為期首要任務(wù)但是在其運(yùn)營(yíng)在某些方面與安全相關(guān)的成員。次級(jí)安全涉眾包括：首席財(cái)政官(CFO)培訓(xùn)組織人力資源/人事部門InspectorsGeneral(IG)根據(jù)在安全方面的不同角色和在組織中具體的層次地位每個(gè)涉眾的興趣會(huì)有所不同。每個(gè)涉眾可能會(huì)根據(jù)他們所負(fù)責(zé)的領(lǐng)域的信息安全性能而要求額外定制的度量。涉眾的興趣可能會(huì)有多種方式，比如采訪、自由討論會(huì)議和任務(wù)陳述回顧。每個(gè)涉眾的度量總數(shù)應(yīng)該在5到10之間。當(dāng)一個(gè)組織建立安全項(xiàng)目的時(shí)候，推薦每個(gè)涉眾使用較少的度量；隨著信息安全項(xiàng)目和度量項(xiàng)目的成熟，使用的度量

33、逐漸增加。在安全度量發(fā)展的每一階段都應(yīng)該包含所有涉眾，以保證組織對(duì)安全性能度量的觀念的認(rèn)同。對(duì)所有涉眾的包含以可以確保系統(tǒng)安全度量的所有權(quán)存在于組織的不同層次上以推動(dòng)項(xiàng)目的全面成功。信息安全的4個(gè)度量方面（商業(yè)投入，有效性，效率和執(zhí)行）是面向不同的涉眾的。一個(gè)經(jīng)理可能主要關(guān)心信息安全活動(dòng)的商業(yè)影響（例如，最近的事故造成了對(duì)多少金錢損失和公眾信任度的下降，主要報(bào)刊上是否有報(bào)道我們的文章？）；安全和項(xiàng)目管理者會(huì)更加關(guān)心信息安全項(xiàng)目的有效性和效率（例如，我們能否防止事故發(fā)生，當(dāng)事故發(fā)生時(shí)我們的響應(yīng)有多快？）；而系統(tǒng)和網(wǎng)絡(luò)管理者主要想知道到底什么地方出錯(cuò)了（例如，我們是否已經(jīng)作了所有必要的準(zhǔn)備來(lái)消除或

34、最小化事故造成的影響？）。4.1.2最終和短期目標(biāo)的定義度量發(fā)展過(guò)程的第二階段是要確定系統(tǒng)安全性能的最終和短期目標(biāo)，這些目標(biāo)指引著安全控制的執(zhí)行。聯(lián)邦政府的系統(tǒng)安全目標(biāo)表述在高層政策、需求、法律、章程、方針、向?qū)е?。包括：Clinger-CohenAct總統(tǒng)決議FISMAOMBCircularA-130,AppendixIIINIST聯(lián)邦信息處理度量(FIPS)和SpecialPublications.附錄A中的度量實(shí)例使用了NIST800-26的關(guān)鍵部分以及對(duì)各種特殊性能目標(biāo)的次級(jí)的問(wèn)題。在適當(dāng)?shù)臅r(shí)候，其他文件也可用作系統(tǒng)安全目標(biāo)的資源。必須回顧可應(yīng)用文件以確定和精簡(jiǎn)合適的安全性能目標(biāo)。所確

35、定的目標(biāo)應(yīng)當(dāng)是對(duì)涉眾有效的以保證他們對(duì)發(fā)展度量發(fā)展過(guò)程的認(rèn)可和參與。附錄A提供了相應(yīng)的信息安全度量目標(biāo)的實(shí)例。4.1.3信息安全政策、向?qū)Ш统绦蚧仡櫚踩刂茍?zhí)行的細(xì)節(jié)通常是在組織特定政策和程序中描述的，這些政策和程序中定義了系統(tǒng)中安全控制的基線（第三階段）。他們特別描述了安全控制的目標(biāo)和技術(shù)是要指導(dǎo)完成系統(tǒng)安全性能的目標(biāo)。這些文件應(yīng)當(dāng)在發(fā)展的初期和后期階段始終被檢查，最初的度量清單可能無(wú)法滿足要求而需要被其他度量取代。應(yīng)當(dāng)回顧可應(yīng)用文件以為系統(tǒng)運(yùn)營(yíng)和維持確定適當(dāng)?shù)拇胧线m的性能目標(biāo)和安全控制細(xì)節(jié)。4.1.4系統(tǒng)安全項(xiàng)目執(zhí)行回顧在度量發(fā)展過(guò)程的第四階段（見(jiàn)圖4-1），所有用于度量數(shù)據(jù)的現(xiàn)存度量

36、和數(shù)據(jù)儲(chǔ)存應(yīng)當(dāng)被回顧。根據(jù)回顧，可以得到有用的信息幫助鑒定合適的執(zhí)行證據(jù)，從而促進(jìn)度量發(fā)展和數(shù)據(jù)收集。執(zhí)行證據(jù)直接反映了信息安全控制的哪些方面對(duì)實(shí)現(xiàn)安全性能目標(biāo)是有指示性的，或者至少反映出了那些對(duì)未來(lái)性能目標(biāo)實(shí)現(xiàn)有用的措施。根據(jù)對(duì)許多資源（例如文件、采訪結(jié)果、觀測(cè)數(shù)據(jù)等）的咨詢，可以精簡(jiǎn)系統(tǒng)安全的要求、程序、過(guò)程。以下資源包含了可以獲得度量數(shù)據(jù)的信息：系統(tǒng)安全計(jì)劃FISMAOMBPlanofActions和Milestones(POA&M)報(bào)告最新的GAOandIG裁決安全相關(guān)活動(dòng)的跟蹤，例如事故處理和報(bào)告，測(cè)量，網(wǎng)絡(luò)管理審計(jì)日志，以及網(wǎng)絡(luò)和系統(tǒng)表。風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試結(jié)果應(yīng)急計(jì)劃配置管理計(jì)劃培

37、訓(xùn)結(jié)果和統(tǒng)計(jì)隨著系統(tǒng)安全的發(fā)展，文件的描述也會(huì)改變，舊的度量將被新的所取代。這些文件和其他相似文件需要檢查以確定度量中涉及到的新領(lǐng)域，從而保證新的度量是適用的。4.1.5度量發(fā)展和選擇圖4-1中描述第5，6，7階段，包括測(cè)量過(guò)程執(zhí)行、有效性、效率和任務(wù)影響的度量的發(fā)展。根據(jù)NISTSP800-26所定義的安全有效性級(jí)別，保準(zhǔn)將會(huì)隨時(shí)調(diào)節(jié)其側(cè)重點(diǎn)。附錄A的信息安全度量，建議被執(zhí)行的度量應(yīng)建立在17個(gè)信息安全領(lǐng)域關(guān)鍵部分上。為提高有效性級(jí)別所需的執(zhí)行證據(jù)將在過(guò)程中改變。這一系列過(guò)程包括：政策和程序的建立，政策和程序執(zhí)行的度量，然后是政策和程序執(zhí)行結(jié)果的度量，最后是鑒定執(zhí)行對(duì)組織任務(wù)的影響。建立在現(xiàn)

38、存政策和程序基礎(chǔ)上可能的度量是相當(dāng)多的。必須將這些度量區(qū)分優(yōu)先次序，以保證為了執(zhí)行而最終選取的度量有如下屬性：能夠使優(yōu)先級(jí)高的安全控制執(zhí)行的改進(jìn)更加便利。而高的優(yōu)先權(quán)可能是被最新的GAO或IG報(bào)告，風(fēng)險(xiǎn)評(píng)估的結(jié)果或內(nèi)部組織的目標(biāo)所定義的。要使用可以從現(xiàn)存程序和數(shù)據(jù)存儲(chǔ)中獲得的數(shù)據(jù)?，F(xiàn)存的度量程序應(yīng)該是穩(wěn)定的。沒(méi)有穩(wěn)定的程序就不能提供對(duì)安全性能有意義和對(duì)某些性能目標(biāo)有用的信息。另一方面，嘗試這樣的度量并不是毫無(wú)用處的，因?yàn)檫@樣的度量必然會(huì)提供比較差的結(jié)果從而幫助確定什么地方需要改進(jìn)。代理可能通過(guò)對(duì)重要性的衡量來(lái)區(qū)分所選度量的重要性，以保證結(jié)果正確反映了現(xiàn)存安全項(xiàng)目的優(yōu)先級(jí)。這涉及到根據(jù)度量在整個(gè)

39、安全項(xiàng)目環(huán)境中的重要性來(lái)分配輕重。度量重要性的評(píng)價(jià)要建立在全面降低風(fēng)險(xiǎn)的目標(biāo)上，它可能能反映出更高的危險(xiǎn)是來(lái)自于系統(tǒng)級(jí)的還是較低級(jí)的，它使得信息安全度量并入部級(jí)計(jì)劃程序更加便利?？赡苄枰环N方法鑒別短期、中期、長(zhǎng)期的度量，在這些度量中，執(zhí)行的時(shí)間取決于系統(tǒng)級(jí)別的有效性、度量?jī)?yōu)先級(jí)、數(shù)據(jù)有效性和程序穩(wěn)定性。一旦一個(gè)包含了以上品質(zhì)的適用的度量被確定，它們需要做成表4-1的度量詳細(xì)表格的文件形式。性能最終目標(biāo)陳述執(zhí)行由度量測(cè)試的一個(gè)或幾個(gè)系統(tǒng)安全控制目標(biāo)/技術(shù)所希望得到的結(jié)果。當(dāng)使用NISTSP800-26時(shí)，本條將列出如800-26所述的關(guān)鍵部分。性能短期目標(biāo)3陳述要完成最終目標(biāo)所需的措施，當(dāng)使用

40、NISTSP800-26時(shí)，本條將列出如NISTSP800-26所述的一些次級(jí)的問(wèn)題。不同的性能目標(biāo)可以與同一個(gè)性能最終目標(biāo)相協(xié)調(diào)。度量通過(guò)描述具體定量的度量定義度量。使用以“百分?jǐn)?shù)”、“數(shù)字”、“頻率”、“平均數(shù)”或其他相思術(shù)語(yǔ)開頭的數(shù)學(xué)化的陳述。目的描述度量所起到的全部功能，包括一個(gè)度量適用于內(nèi)部性能測(cè)試還是外部報(bào)告，通過(guò)度量希望得到什么線索，收集一個(gè)特殊度量的調(diào)整或法律理由，以及其他相似的條款。執(zhí)行證據(jù)列舉能驗(yàn)證安全控制執(zhí)行結(jié)果的證據(jù)。執(zhí)行證據(jù)用來(lái)計(jì)算度量，作為驗(yàn)證活動(dòng)是否有效的間接指示器，或者作為導(dǎo)致一些意外結(jié)果的參考原因。（4.1.3信息安全政策，向?qū)Ш统绦蚧仡櫍?.1.4系統(tǒng)安全項(xiàng)

41、目執(zhí)行回顧；以及4.1.5，度量發(fā)展和選擇中包含了相關(guān)討論，什么樣的信息可以用來(lái)鑒定單獨(dú)度量的執(zhí)行證據(jù)。5.2，收集數(shù)據(jù)和分析結(jié)果，包含了一些討論以及一個(gè)通常導(dǎo)致因素的清單頻率建議收集用于測(cè)量隨時(shí)間變化的數(shù)據(jù)的收集周期。建議控制執(zhí)行中可能的更新周期。（4.3，度量發(fā)展過(guò)程中的反饋，包含了一些度量數(shù)據(jù)收集頻率的一些討論。）公式描述了一個(gè)度量的用數(shù)字方式表述的計(jì)算方法。收集的信息通過(guò)列出其執(zhí)行證據(jù)作為公式的輸入以計(jì)算度量。數(shù)據(jù)資源列出了用于計(jì)算度量的數(shù)據(jù)的位置。包括能夠提供所需數(shù)據(jù)的數(shù)據(jù)庫(kù)，跟蹤工具，組織，或者組織中的特殊角色。（3.4.3數(shù)據(jù)管理相關(guān)，包含了一些度量數(shù)據(jù)資源的討論。）指示器提供度

42、量的意義和其性能趨勢(shì)的信息。通過(guò)測(cè)量建議造成被鑒定的趨勢(shì)的可能原因，指出改進(jìn)所觀測(cè)到的缺陷的可能解決方法。陳述性能目標(biāo)如果其已被提出，并指出什么樣的趨勢(shì)對(duì)性能目標(biāo)是有益的。（4.2，建立性能目標(biāo)，包含了關(guān)于性能目標(biāo)和指示器之間關(guān)系的一些討論。）描述通過(guò)列舉執(zhí)行證據(jù)收集到的信息是怎樣用到指示器的分析當(dāng)中的。執(zhí)行證據(jù)是用來(lái)確認(rèn)安全活動(dòng)的性能和確定導(dǎo)致因素的。表4-1度量詳細(xì)表格3.當(dāng)使用NISTSP800-26次級(jí)問(wèn)題時(shí)，每個(gè)度量可以處理超過(guò)一個(gè)的次級(jí)問(wèn)題。4.2建立性能目標(biāo)在應(yīng)用度量被確定和描述后，在度量表格中的指示器一欄中應(yīng)確定性能目標(biāo)。性能目標(biāo)建立了一個(gè)衡量成功的目標(biāo)。成功程度是建立在度量結(jié)

43、果和所提出的性能目標(biāo)接近程度的基礎(chǔ)上的。建立執(zhí)行的性能目標(biāo)的結(jié)構(gòu)是不同于其他三種度量（有效性，效率和影響）的。對(duì)于執(zhí)行度量，目標(biāo)要定在特定任務(wù)的百分之百的完成。當(dāng)符合所有NISTSP800-26關(guān)鍵部分的執(zhí)行度量達(dá)到百分之百完成的目標(biāo)時(shí)，組織到達(dá)了圖3-1描述的級(jí)別3。為有效性、效率和影響度量建立性能目標(biāo)是更加復(fù)雜的，因?yàn)榘踩\(yùn)轉(zhuǎn)的這些方面并沒(méi)有表現(xiàn)出一個(gè)特定的級(jí)別。需要應(yīng)用主觀和定性的推理來(lái)決定安全有效性和效率的合適級(jí)別，并使用這些級(jí)別作為可用度量的性能目標(biāo)。盡管所有的組織都渴望有效率的安全控制的執(zhí)行、有效率的安全服務(wù)的傳輸和安全事件對(duì)組織任務(wù)的最小影響，相關(guān)的測(cè)試對(duì)不同的系統(tǒng)是不同的。一個(gè)

44、組織可以嘗試為這些度量建立性能行目標(biāo)，如果可以的話還可以根據(jù)實(shí)際測(cè)試調(diào)整性能目標(biāo)。組織也可以選擇直到收集到可作為基線的第一個(gè)測(cè)量才為這些度量建立性能目標(biāo)。一旦得到了基線并確定了糾正措施，便可以定義合適的測(cè)量目標(biāo)和執(zhí)行里程碑，這對(duì)特定系統(tǒng)環(huán)境是現(xiàn)實(shí)的。如果獲得基線后不能建立性能目標(biāo)，應(yīng)當(dāng)評(píng)估所測(cè)量的活動(dòng)和相關(guān)文件是否為組織提供了預(yù)期的利益。如果歷史數(shù)據(jù)對(duì)這些度量是有用的，將便利有效性、效率和影響度量基線和性能目標(biāo)的建立。由過(guò)去觀測(cè)到的趨勢(shì)可以提供一系列以前的性能的發(fā)展的線索，并為今后現(xiàn)實(shí)的目標(biāo)的建立提供向?qū)?。以后，專家的推薦和業(yè)界文件發(fā)表后可以提供建立目標(biāo)的方法。圖4-2提供了一個(gè)信息安全度量趨

45、勢(shì)的實(shí)例，它是基于適用的安全計(jì)劃的百分?jǐn)?shù)的。4.3文件發(fā)展過(guò)程中的反饋?zhàn)詈筮x取的用來(lái)執(zhí)行的度量不僅對(duì)于測(cè)試性能、鑒定造成意外的原因、確定改進(jìn)領(lǐng)域是有用的，而且對(duì)于促進(jìn)連續(xù)的政策執(zhí)行、改變安全政策和重新定義目標(biāo)也是有用的。這個(gè)關(guān)系可由圖4-1中的標(biāo)有Goal/ObjectiveRedefinition,PolicyUpdate,和ContinuousImplementation反饋箭頭來(lái)描述。當(dāng)安全控制的執(zhí)行已開始測(cè)量，其以后的測(cè)量可以用來(lái)鑒定性能趨勢(shì)并保證執(zhí)行速度是合適的。一個(gè)度量收集的特定頻率取決于一個(gè)測(cè)量時(shí)間的生命周期。關(guān)于安全計(jì)劃的完成和更新的百分?jǐn)?shù)的度量，其收集頻率不應(yīng)該超過(guò)每半年一次

46、。對(duì)可被破譯的口令度量，其收集至少要一月一次。連續(xù)的測(cè)量指向可用安全控制的連續(xù)執(zhí)行。一旦有效性和效率度量被執(zhí)行，它們將幫助我們理解安全政策和程序中的安全控制性能目標(biāo)是是否是現(xiàn)實(shí)而合適的。例如，如果一個(gè)安全政策定義了一個(gè)口令配置，通過(guò)測(cè)量根據(jù)政策配置的口令的百分?jǐn)?shù)可以確定政策的被依從性。這個(gè)度量為了測(cè)試安全控制執(zhí)行的級(jí)別。如果按政策配置的口令明顯減少（盡管沒(méi)有消除），系統(tǒng)將會(huì)受到被破譯口令的威脅。為了測(cè)試現(xiàn)存口令政策執(zhí)行的有效性，應(yīng)當(dāng)鑒定可破譯（使用一般口令破譯工具）口令的百分?jǐn)?shù)。這個(gè)度量將測(cè)試安全控制執(zhí)行時(shí)的有效性。如果在所需口令政策執(zhí)行后可破譯口令的百分?jǐn)?shù)沒(méi)有什么變化，說(shuō)明政策在減少口令威脅

47、上是沒(méi)有效率的。然后組織需要權(quán)衡損失和利益而決定是要維持現(xiàn)有方案或使用新的口令認(rèn)證技術(shù)。對(duì)得失分析產(chǎn)生了商業(yè)影響度量，它致力于重新定義系統(tǒng)鑒定和證明目標(biāo)以及根據(jù)系統(tǒng)任務(wù)重新適當(dāng)安排這些目標(biāo)。5.度量項(xiàng)目執(zhí)行信息安全度量執(zhí)行涉及到使用信息安全度量監(jiān)測(cè)信息安全控制性能并通過(guò)監(jiān)測(cè)結(jié)果提出糾正措施。這個(gè)過(guò)程由六個(gè)階段重復(fù)執(zhí)行，這些過(guò)程的充分執(zhí)行能夠確保信息安全度量對(duì)安全控制性能監(jiān)測(cè)和改進(jìn)的連續(xù)作用。圖5-1描述了信息安全度量項(xiàng)目的執(zhí)行過(guò)程。5.1數(shù)據(jù)收集的準(zhǔn)備過(guò)程的第一階段數(shù)據(jù)收集的準(zhǔn)備，涉及到建立一個(gè)全面的信息安全度量項(xiàng)目的關(guān)鍵行為，包括4.1部分中描述的信息安全度量的鑒定、定義、發(fā)展和選擇行為，以

48、及度量項(xiàng)目執(zhí)行計(jì)劃的發(fā)展。當(dāng)度量已經(jīng)被鑒定后，以后的步驟就需要定義怎樣收集、分析和報(bào)告度量。這些步驟應(yīng)該陳述在度量項(xiàng)目執(zhí)行計(jì)劃中。該計(jì)劃應(yīng)當(dāng)包含如下的條款：度量任務(wù)和責(zé)任。包括數(shù)據(jù)收集（請(qǐng)求和提交）、分析和報(bào)告。計(jì)劃的聽(tīng)眾。為特定組織結(jié)構(gòu)、過(guò)程、政策和程序定制的度量收集、分析和報(bào)告的過(guò)程。OfficeoftheCIO中協(xié)調(diào)的細(xì)節(jié)，例如風(fēng)險(xiǎn)評(píng)估，C&A和FISMA報(bào)告。OfficeoftheCIO和代理種CIO外部其他功能（例如，信息保障IA（如果它是分離于CIO外的）；物理安全；人員安全；關(guān)鍵下部組織保護(hù)CIP)之間的協(xié)調(diào)細(xì)節(jié)，以保證數(shù)據(jù)收集是最新型的和非生產(chǎn)的。數(shù)據(jù)收集和跟蹤工具的修改。度量

49、概要報(bào)告格式。5.2收集數(shù)據(jù)和分析結(jié)果過(guò)程的第二部分，收集數(shù)據(jù)和分析結(jié)果，涉及到那些能保證收集到的數(shù)據(jù)是用來(lái)得到對(duì)系統(tǒng)安全的理解和確定合適的糾正措施的活動(dòng)。本階段包括以下的活動(dòng)：根據(jù)度量項(xiàng)目執(zhí)行計(jì)劃中定義的過(guò)程收集度量數(shù)據(jù)。鞏固收集到的數(shù)據(jù)，并以對(duì)數(shù)據(jù)分析和報(bào)告有益的格式存儲(chǔ)，比如，數(shù)據(jù)庫(kù)或者電子數(shù)據(jù)表。進(jìn)行缺陷分析比較所收集數(shù)據(jù)和目標(biāo)（如果已被定義），堅(jiān)定實(shí)際性能和期望性能之間差距。確定導(dǎo)致性能低下的原因。確定需要改進(jìn)的領(lǐng)域。導(dǎo)致性能低下的原因通?？梢杂啥嘤谝粋€(gè)的度量數(shù)據(jù)來(lái)確定。例如，知道了被認(rèn)可的安全計(jì)劃的百分?jǐn)?shù)低到無(wú)法接受，這對(duì)于決定如何解決問(wèn)題是沒(méi)有幫助的。要找出導(dǎo)致低依從性的原因，需

50、要收集與導(dǎo)致低百分點(diǎn)原因相關(guān)的信息（例如，缺乏領(lǐng)導(dǎo)，專家技術(shù)不夠或者優(yōu)先級(jí)沖突）。這些信息可以被收集作為被認(rèn)可安全計(jì)劃百分點(diǎn)的單獨(dú)度量或執(zhí)行證據(jù)。一旦這些信息被收集和編輯，便可以制定針對(duì)導(dǎo)致問(wèn)題原因的解決措施。以下是導(dǎo)致了安全控制執(zhí)行和有效性低下的一些因素：資源人力、財(cái)力或其他資源的不足。培訓(xùn)對(duì)職員安裝、管理、維護(hù)或使用系統(tǒng)的適當(dāng)培訓(xùn)的缺乏。系統(tǒng)更新在運(yùn)行系統(tǒng)更新過(guò)程中被去除但沒(méi)有被其他路徑代替的安全路徑。管理實(shí)踐的配置新的或者被更新的系統(tǒng)沒(méi)有配置要求的安全設(shè)置和路徑。軟件兼容性安全路徑或更新和系統(tǒng)支持的應(yīng)用軟件是相矛盾的。意識(shí)和責(zé)任對(duì)安全的管理意識(shí)和責(zé)任的缺乏。政策和程序能夠確保必須安全功能

51、存在、使用和審計(jì)的政策和程序的缺乏。體系系統(tǒng)和安全體系的低劣導(dǎo)致了系統(tǒng)易受攻擊。低效率的過(guò)程低效率的計(jì)劃過(guò)程影響了度量（包括對(duì)指導(dǎo)組織行為必要的溝通過(guò)程）。5.3確定糾正措施過(guò)程的第三階段，確定糾正措施，涉及到計(jì)劃的發(fā)展以指示怎樣填補(bǔ)第二階段中鑒定的執(zhí)行缺陷。本階段包括以下活動(dòng)：決定一系列糾正措施建立在結(jié)果和導(dǎo)致因素的基礎(chǔ)上，確定能夠應(yīng)用于每個(gè)性能問(wèn)題上的糾正措施。糾正措施應(yīng)該包括修改系統(tǒng)配置；培訓(xùn)安全員工和系統(tǒng)管理者員工或長(zhǎng)期用戶；購(gòu)買安全工具；更新安全政策。根據(jù)全面減少風(fēng)險(xiǎn)的目標(biāo)區(qū)分糾正措施的優(yōu)先級(jí)對(duì)某一個(gè)性能問(wèn)題可能會(huì)有幾個(gè)適用的糾正措施；但是，如果其中一些措施并不與問(wèn)題量級(jí)相協(xié)調(diào)或者代

52、價(jià)太大，這些措施也是不合適的。對(duì)每個(gè)性能問(wèn)題應(yīng)當(dāng)根據(jù)糾正措施開銷的升序和影響的降序區(qū)分其優(yōu)先級(jí)。NISTSP800-30中描述的風(fēng)險(xiǎn)管理過(guò)程，RiskManagementGuideforInformationTechnologySystems,可以被用于區(qū)分糾正措施的優(yōu)先級(jí)。如果在數(shù)據(jù)收集的準(zhǔn)備階段已經(jīng)為度量分配好輕重，這些輕重應(yīng)當(dāng)能夠幫助區(qū)分糾正措施的優(yōu)先級(jí)?；蛘?，在確定糾正措施階段，可以根據(jù)具體執(zhí)行的糾正措施的危險(xiǎn)程度、糾正措施開銷，糾正措施對(duì)組織安全狀況影響的程度來(lái)區(qū)分其優(yōu)先級(jí)。選擇最適當(dāng)?shù)募m正措施選擇糾正措施名單中優(yōu)先級(jí)最高的三個(gè)措施來(lái)指導(dǎo)得失分析。5.4發(fā)展商業(yè)對(duì)象和獲取資源第四和第

53、五階段，發(fā)展商業(yè)對(duì)象和獲取資源，致力于獲取資源的預(yù)算周期，這些資源是執(zhí)行第三階段確定的糾正措施所必需的。這些涉及到發(fā)展商業(yè)對(duì)象的步驟以產(chǎn)業(yè)實(shí)踐和委托向?qū)榛A(chǔ)，包括OMBCircularA-11,Clinger-CohenAct,和GPRA。商業(yè)對(duì)象將包含前三個(gè)階段的結(jié)果以支持證據(jù)。商業(yè)對(duì)象分析應(yīng)當(dāng)包括以下活動(dòng)：為度量發(fā)展過(guò)程第二階段中確定的任務(wù)和目標(biāo)制定文件。將維持現(xiàn)狀所需的開銷作為基線來(lái)比較投資選擇。為度量項(xiàng)目執(zhí)行過(guò)程第二階段鑒定的現(xiàn)有測(cè)量和目標(biāo)性能之間的差距制定文件。為度量項(xiàng)目執(zhí)行過(guò)程第三階段確定的糾正措施或投資選擇估計(jì)生命周期花銷。進(jìn)行敏感性分析以觀測(cè)那些變量對(duì)開銷的影響最大4。描述通

54、過(guò)性能提高帶來(lái)的可計(jì)量和不可計(jì)量的利益回報(bào)。這里所說(shuō)的性能提高是基于度量項(xiàng)目執(zhí)行過(guò)程第三階段改正措施的優(yōu)先級(jí)區(qū)分的基礎(chǔ)上的。進(jìn)行風(fēng)險(xiǎn)分析以分析一個(gè)特殊選擇產(chǎn)生障礙和項(xiàng)目風(fēng)險(xiǎn)的可能性。通過(guò)概括商業(yè)對(duì)象的主要方面準(zhǔn)備預(yù)算提交，以精確描述它的度量。在過(guò)程的這一階段，每個(gè)代理都應(yīng)該跟隨代理-特定商業(yè)對(duì)象向?qū)?。典型地，商業(yè)組成和分析會(huì)使內(nèi)部和外部的預(yù)算要求更好的實(shí)現(xiàn)。對(duì)商業(yè)對(duì)象徹底的檢查可以支持和促進(jìn)獲取資源過(guò)程。獲取資源階段包括以下活動(dòng)：4.如果一個(gè)變量的微小變動(dòng)導(dǎo)致了計(jì)算結(jié)果的巨大變動(dòng)，則認(rèn)為結(jié)果對(duì)那個(gè)參量或假設(shè)是敏感的。對(duì)預(yù)算評(píng)估調(diào)查做出回應(yīng)。接受分配的預(yù)算。如果沒(méi)有分配到所有需要的資源，對(duì)可用資

55、源區(qū)分優(yōu)先級(jí)。為執(zhí)行糾正措施分配資源。5.5糾正措施應(yīng)用過(guò)程的第六階段，糾正措施應(yīng)用，包括執(zhí)行安全控制在技術(shù)、管理和操作方面的糾正措施。糾正措施執(zhí)行后，將會(huì)進(jìn)入新的數(shù)據(jù)收集和分析的循環(huán)。重復(fù)性的數(shù)據(jù)收集、分析和報(bào)告將跟蹤糾正措施、改進(jìn)測(cè)量的過(guò)程。執(zhí)行的重復(fù)性保證了過(guò)程是被監(jiān)控的以及糾正措施對(duì)系統(tǒng)安全控制是按預(yù)期方式影響的。頻繁的性能測(cè)量可以確保糾正措施是否按計(jì)劃執(zhí)行，或者它們沒(méi)有產(chǎn)生預(yù)期的影響，從而建立快速的內(nèi)部糾正措施，以避免問(wèn)題在外部審計(jì)，C&Aefforts和其他相似活動(dòng)中暴露出來(lái)。附錄A:安全度量的實(shí)例國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)特別?？?SP)800-26，SecuritySelf

56、-AssessmentGuideforInformationTechnologySystems，確定了影響組織安全狀況的17個(gè)信息安全方面。本附錄為每個(gè)關(guān)鍵部分都提供了一個(gè)實(shí)例，并以4.1.5中介紹的度量表格的形式給出。本附錄中的每個(gè)度量都可以是獨(dú)立的，也可以作為一系列度量的一部分；如果度量是作為一個(gè)系列的，對(duì)于這些度量中使用的相同的問(wèn)題就不需要重復(fù)。度量可以被使用或定制以安全控制的有效性。許多度量實(shí)例都包含了備注，其中建議了改變度量收集額外信息的方式，或者解釋了為什么要提這些問(wèn)題。本目錄中支持度量的執(zhí)行證據(jù)可以在系統(tǒng)級(jí)別或者項(xiàng)目級(jí)別上被收集。在一些實(shí)例中，度量的第一部分在項(xiàng)目級(jí)別收集數(shù)據(jù)，然

57、后會(huì)提出系統(tǒng)級(jí)別的特定問(wèn)題。在系統(tǒng)級(jí)別收集數(shù)據(jù)時(shí)，項(xiàng)目級(jí)別的問(wèn)題應(yīng)當(dāng)被忽略或者重述以獲取對(duì)一個(gè)系統(tǒng)有用的信息。某些度量要求結(jié)果是百分?jǐn)?shù)，公式的結(jié)果應(yīng)當(dāng)乘100以得到百分?jǐn)?shù)。本附錄包括一些2003FISMA報(bào)告向?qū)е械腛MB所要求的度量。表A-1提供了一個(gè)快照，以指導(dǎo)如何找到直接對(duì)應(yīng)2003OMBFISMA向?qū)?wèn)題的度量。請(qǐng)注意OMBFISMA度量有時(shí)同時(shí)要求絕對(duì)數(shù)和百分?jǐn)?shù)，而有時(shí)僅要求絕對(duì)數(shù)。當(dāng)表格中列出的度量是百分?jǐn)?shù)時(shí)，符合OMBFISMA度量的原始數(shù)據(jù)被包含在公式的分子或分母中。本表格還特別指出了哪些OMB僅要求原始數(shù)據(jù)而不要百分?jǐn)?shù)的度量，陳述了一些情況下應(yīng)當(dāng)使用度量的分子還是分母。關(guān)鍵部

58、分度量OMB向?qū)婕?.1擁有正式執(zhí)行和明文規(guī)定的風(fēng)險(xiǎn)評(píng)估的系統(tǒng)的百分?jǐn)?shù)。I.C.1.c2.1上一年中安全控制已被測(cè)試和評(píng)估的系統(tǒng)總數(shù)。I.C.1.g3.1擁有并入系統(tǒng)生命周期的安全控制開銷的體統(tǒng)總數(shù)。I.C.1.f4.1已被權(quán)威認(rèn)證的處理其后證明和委派的系統(tǒng)總數(shù)。I.C.1.e5.2現(xiàn)有安全計(jì)劃的百分比。I.C.1.d9.2擁有意外事故計(jì)劃的系統(tǒng)的百分比I.C.1.h9.3意外事故計(jì)劃在上一年已被測(cè)試的系統(tǒng)的百分比。I.C.1.i13.1已接受專門培訓(xùn)的擁有重大安全責(zé)任的職員的百分比。I.C.3.c（分母）I.C.3.d(分子)14.1擁有事故處理和回應(yīng)能力的代理成員的百分比。I.B.8.c

59、(分子)14.2向FedCIRC或法律強(qiáng)制報(bào)告的事故數(shù)。I.B.9.c表A-1OMBFISMA度量相關(guān)A.1風(fēng)險(xiǎn)管理關(guān)鍵部分1.1風(fēng)險(xiǎn)是定期評(píng)估的么？次級(jí)問(wèn)題1.1.2風(fēng)險(xiǎn)評(píng)估的文件制定和執(zhí)行是常規(guī)性的還是只有系統(tǒng)、設(shè)備和其它條件改變時(shí)才進(jìn)行度量擁有正式文件和執(zhí)行的風(fēng)險(xiǎn)評(píng)估的系統(tǒng)的百分?jǐn)?shù)。目的根據(jù)組織要求確定完成的風(fēng)險(xiǎn)評(píng)估的數(shù)量。執(zhí)行證據(jù)1.你的代理是否維持著現(xiàn)有信息系統(tǒng)的目錄。？是？否2.如果是的話，你的代理（或者可應(yīng)用的代理成員）有多少個(gè)系統(tǒng)。3.在如下時(shí)間段里，在當(dāng)前目錄中的系統(tǒng)中，多少系統(tǒng)擁有明文規(guī)定和執(zhí)行的風(fēng)險(xiǎn)評(píng)估？（為每個(gè)系統(tǒng)選擇最接近的時(shí)間段；不要在一個(gè)以上時(shí)間段中計(jì)數(shù)相同的的系

60、統(tǒng)。）在過(guò)去12個(gè)月中_在過(guò)去2年中_在過(guò)去3年中_4.在已進(jìn)行了風(fēng)險(xiǎn)評(píng)估的系統(tǒng)中，列舉出因以下原因而進(jìn)行評(píng)估的系統(tǒng)的數(shù)量：預(yù)定風(fēng)險(xiǎn)評(píng)估_系統(tǒng)環(huán)境的主要改變_設(shè)備的主要改變_其他條件（請(qǐng)指明）的改變_5.在過(guò)去三年內(nèi)沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估的所有系統(tǒng)中，列舉出因以下原因而進(jìn)行評(píng)估的系統(tǒng)的數(shù)量：沒(méi)有政策_(dá)沒(méi)有資源_系統(tǒng)級(jí)別沒(méi)有要求_以前系統(tǒng)沒(méi)有被定義_新系統(tǒng)_其它（請(qǐng)指明）_頻率每半年或每年一次公式代理級(jí)別：每個(gè)時(shí)間段里文件中風(fēng)險(xiǎn)評(píng)估的總數(shù)（問(wèn)題3）/目錄（目錄數(shù)據(jù)庫(kù)）中信息系統(tǒng)的總數(shù)。5數(shù)據(jù)資源包含了所有主要應(yīng)用的信息系統(tǒng)和一般支持系統(tǒng)的目錄；風(fēng)險(xiǎn)評(píng)估存儲(chǔ)。指示器本度量計(jì)算了過(guò)去三年內(nèi)（一般是要求的進(jìn)