前言：本站為你精心整理了信息安全管理有效性的測量范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1測量目的和測量指標

1．1信息安全管理有效性測量目的

信息安全管理有效性測量的根本目的，是評估企業(yè)信息安全管理的真實水平。在企業(yè)建立信息系統(tǒng)時，通常都會依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)、信息組成、利益關(guān)系、安全標準等方面的要求，來設定企業(yè)信息系統(tǒng)的安全管理目標，構(gòu)筑相應的安全管理體系和措施。對企業(yè)信息安全管理有效性進行測量，不僅可以對企業(yè)信息安全管理目標實現(xiàn)程度進行科學準確的評估，還能準確地評測企業(yè)信息安全管理系統(tǒng)的效能，作為企業(yè)信息安全管理考核的依據(jù)。實際上，如果不進行有效性測量，只依賴于信息系統(tǒng)安全測量標準來評估企業(yè)信息系統(tǒng)安全管理水平，將會造成極大的誤差，甚至產(chǎn)生很多安全漏洞，使企業(yè)實際信息安全管理水平與所需達到的水平相差甚遠，如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無法得到有效的解決，造成巨大的信息安全隱患。通過有效性測量，能更好地找出企業(yè)信息安全管理需要改進的地方，充分反應企業(yè)信息安全管理存在的問題和嚴重程度，為企業(yè)信息安全管理工作的改進提供依據(jù)。

1．2信息安全管理有效性測量指標

信息安全管理不僅是國內(nèi)企業(yè)的需要，也是國外企業(yè)的需要，相對來說，國外在信息安全管理方面的水平更高。目前，在國際上普遍采用ISO／IEC27002作為信息安全管理標準，以此來實施信息安全管理，這一標準是當前最權(quán)威和最科學的信息安全管理標準，在這一標準中從信息安全方針、組織、管理等方面，提出了100余個控制措施，信息安全管理中可以根據(jù)企業(yè)的需要選擇相應的措施進行信息安全管理，該標準所提出的措施，基本覆蓋了企業(yè)信息安全管理的各個方面。在構(gòu)建信息安全管理有效性測量指標體系時，也可以按照ISO／IEC27002標準進行，將測量內(nèi)容分解為管理控制、運行控制、技術(shù)控制3個方面，并根據(jù)企業(yè)實際情況采用具有代表性、可測量的指標建立起測量指標集，對這些指標實施情況進行采集分析，再通過專家咨詢評測最終得到企業(yè)信息安全管理有效性的具體指標，評估企業(yè)信息安全達到的水平，找出企業(yè)信息安全管理的不足。

2測量方法和指標計算

2．1測量方法

在信息安全管理有效性測量中，應當對指標進行量化處理，最終形成量化測量結(jié)果。不同的指標，所采用的測量方法并不相同，通常采用的測量方法有風險分析、風險評估、問卷調(diào)查、個人訪談、內(nèi)部審核、報表統(tǒng)計、滲透性測試、內(nèi)外對比等方法。對不同的指標采用相應的測量方法進行測量后，得到各指標的基本測度結(jié)果，再運用不同的技術(shù)對所獲得的基本測度結(jié)果進行取值，賦予不同指標以不同的安全風險權(quán)重，最終算出企業(yè)信息安全管理有效性水平。例如在信息安全管理控制方面，需要對信息系統(tǒng)安全性，信息處理、信息傳輸、信息存儲安全性進行評價，并評估這些風險可能對企業(yè)資產(chǎn)造成的威脅以及威脅程度，結(jié)合安全問題所涉及的資產(chǎn)價值來判斷可能造成的影響，以評估信息安全管理控制的有效性，這其中，就需要將信息安全管理控制分解為多個指標進行測量，并根據(jù)對資產(chǎn)價值的影響能力賦予不同的權(quán)重和取值，才能最終確定出企業(yè)信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面，需要對人員安全、安全意識、環(huán)境安全、業(yè)務聯(lián)系、事件管理等進行有效性評估，其中人員安全包括各個人員的安全評級和安全管理情況，安全意識包括企業(yè)安全教育、人員安全技術(shù)水平等，環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等。

2．2指標計算

在信息安全管理有效性測量中，各指標的在安全管理有效性中的權(quán)重并不相同，因此信息安全管理有效性測量結(jié)果，不是對各指標的測量結(jié)果進行簡單相加，而是要對不同的指標賦予不同的權(quán)重，構(gòu)建起評測矩陣，并充分考慮各指標之間的聯(lián)系賦值，如極端重要、強烈重要、明顯重要、稍微重要等，根據(jù)不同指標的權(quán)重進行重要性排序后，對其特征向量進行求解，確定各指標在企業(yè)信息安全管理中的影響能力。各指標的權(quán)重，并沒有統(tǒng)一的標準，也不可能簡單地借鑒其他企業(yè)的測量權(quán)重，根據(jù)不同企業(yè)有不同的特點，在進行測量時，應當有相當數(shù)量的專家參與權(quán)重賦值，在消除偶然因素的影響后建立起符合企業(yè)特點的指標權(quán)重體系，得出較為科學合理的指標權(quán)重，這樣才能使最重的測量結(jié)果更為科學合理。

3結(jié)束語

信息安全問題關(guān)系著企業(yè)的競爭發(fā)展，在企業(yè)信息安全管理中，并不是構(gòu)建了先進的硬件平臺和軟件系統(tǒng)就能切實提高企業(yè)信息安全管理水平，還需要保證信息安全管理的有效性，因此信息安全管理有效性測量極為重要。不過當前我國信息安全管理有效性測量才剛剛起步，雖然有很多先進的國內(nèi)外經(jīng)驗可供借鑒，但信息安全管理有效性測量有極大的個性化特點，需要根據(jù)不同企業(yè)采用不同的測量方法，建立起不同的指標體系，運用不同的權(quán)重賦值進行有效性評估，這樣才能提高測量的科學性和合理性，降低測量誤差。

作者：張立偉單位：國投曹妃甸港口有限公司