信息化觀察網(wǎng)

本文來自微信公眾號“安永EY”。

前言

隨著企業(yè)對網(wǎng)絡(luò)安全管理的不斷完善以及信息安全管理體系（ISMS）的建立，如何有效管理這一體系，確保其與企業(yè)的戰(zhàn)略目標和運營需求保持一致，成為企業(yè)面臨的重要挑戰(zhàn)。對ISMS的監(jiān)視、測量、分析和評價可以為企業(yè)提供實時風(fēng)險管理、合規(guī)性保障、業(yè)務(wù)連續(xù)性維護以及決策支持，是企業(yè)持續(xù)提升信息安全性能和增強客戶信任的關(guān)鍵。本文將深度解析GB/T 31497-2024/ISO/IEC 27004:2016《信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和評價》（以下簡稱GB/T 31497-2024）標準的核心內(nèi)容，并結(jié)合多數(shù)企業(yè)實施現(xiàn)狀，提供一系列實用的實踐指南。

標準要點分析

1

特征

監(jiān)視和測量是信息安全績效評估的起點，企業(yè)應(yīng)首先明確目標以確定信息需求，然后選擇合適的測度和數(shù)據(jù)以滿足這些需求。

監(jiān)視什么：企業(yè)應(yīng)監(jiān)視ISMS過程的實施、過程和活動，并收集產(chǎn)生的數(shù)據(jù)（如日志、訪談、統(tǒng)計）來識別風(fēng)險并支持決策，但需確保數(shù)據(jù)獲取的時效性以準確評估和響應(yīng)。

測量什么：企業(yè)應(yīng)測量ISMS過程和活動的實施進度以及控制措施和控制措施組的有效性，以幫助識別潛在的改進需求。

何時監(jiān)視、測量、分析和評價：企業(yè)應(yīng)根據(jù)信息需求和數(shù)據(jù)生命周期制定具體時間表，確保數(shù)據(jù)收集頻次適應(yīng)分析和報告需求、在分析前積累足夠數(shù)據(jù)、隨環(huán)境變化調(diào)整監(jiān)視活動。

誰來監(jiān)視、測量、分析和評價：企業(yè)需明確分配負責(zé)的角色，并確保他們具備所需技能。

2

測度的類型

企業(yè)可以通過兩種主要的測度方法來量化其規(guī)劃活動的實施進度和結(jié)果的有效性：

實施進度測度：通過所規(guī)劃活動的特征，如人數(shù)、里程碑完成情況或信息安全控制措施實施的程度來表示所規(guī)劃的結(jié)果；關(guān)注已經(jīng)實施的信息安全過程和控制措施的進展情況。

有效性測度：表示所規(guī)劃活動對企業(yè)信息安全目標的影響；關(guān)注所規(guī)劃活動已經(jīng)實現(xiàn)的程度和預(yù)期的結(jié)果。

企業(yè)需要考慮不同階段對測度的關(guān)注重點。一旦所有實施進度測度穩(wěn)定在100%，企業(yè)應(yīng)將重點轉(zhuǎn)向有效性測度，同時保留實施進度測度以識別潛在的改進領(lǐng)域。

3

過程

標準為企業(yè)提供了一個系統(tǒng)化的方法來監(jiān)視、測量、分析和評價ISMS的有效性：

企業(yè)還應(yīng)包括對上述過程進行評審和改進的ISMS管理過程以實現(xiàn)持續(xù)發(fā)展，并注意保留相關(guān)文檔化信息作為監(jiān)視和測量結(jié)果的證據(jù)，確保信息能適當(dāng)?shù)貍鬟_給所有利益相關(guān)方。

企業(yè)實踐建議

1

管理層面

建立評估機制：企業(yè)應(yīng)結(jié)合法律法規(guī)要求、企業(yè)自身信息安全目標、策略和要求等，建立完善的ISMS評估機制。應(yīng)在當(dāng)前ISMS文檔架構(gòu)的基礎(chǔ)上，補充完善ISMS評估制度，確定監(jiān)視、測量、分析和評價的指標和流程，并根據(jù)實際情況設(shè)計相關(guān)工具模板。

定期匯報改進：企業(yè)應(yīng)定期評審監(jiān)視、測量、分析和評價的過程和結(jié)果并編制報告，供管理層決策使用。企業(yè)還應(yīng)根據(jù)評審結(jié)果及內(nèi)外部環(huán)境變化調(diào)整和改進ISMS，以適應(yīng)不斷變化的安全威脅和業(yè)務(wù)需求。

2

實施層面

定制測度標準：企業(yè)應(yīng)充分理解ISMS要求，包括法律法規(guī)、國際標準、集團要求等，并根據(jù)自身特點定制需要測度的標準。定制測度標準的過程中應(yīng)充分考慮規(guī)模、行業(yè)、成熟度等要素，并包含組織控制、人員控制、物理控制、技術(shù)控制等方面。

開展評估及文檔化：企業(yè)應(yīng)根據(jù)自身需求優(yōu)先級及相關(guān)測度指標的可獲得性，制定詳細的評估計劃，如確定實施進度測度及有效性測度的優(yōu)先順序等。評估過程中還應(yīng)注意保留適當(dāng)?shù)奈臋n化信息，以便在必要時與管理層和其他利益相關(guān)方進行有效溝通。

3

技術(shù)層面

信息安全測量模型：企業(yè)在進行ISMS評估過程中可以構(gòu)建適當(dāng)?shù)牧炕Ｐ?，將對信息安全績效和ISMS有效性進行量化。根據(jù)明確的測量方法，對過程、控制、文件化信息、系統(tǒng)、設(shè)備、人員和資源等屬性進行評估，生成對各評估對象特征的基礎(chǔ)測度。此外企業(yè)應(yīng)依據(jù)實際情況和不同評估對象的特點，設(shè)計測量函數(shù)對基礎(chǔ)測度進行轉(zhuǎn)化，最終通過定制化的模型分析，輸出能為管理者提供決策依據(jù)的指標。

利用技術(shù)工具：企業(yè)還可以根據(jù)自身需求和成本，考慮引入自動化的監(jiān)測工具和專業(yè)的ISMS管理工具，以自動化方式完成測度的收集、分析和報告，減少所需的成本以及可能產(chǎn)生的人為錯誤。

結(jié)語

隨著技術(shù)的不斷進步和網(wǎng)絡(luò)威脅的不斷演變，企業(yè)必須不斷審視和更新其信息安全策略，以確保業(yè)務(wù)運營和數(shù)據(jù)保護的可持續(xù)發(fā)展。GB/T 31497-2024為企業(yè)提供了一個全面的框架，以評估和改進ISMS。不僅能夠幫助企業(yè)提高信息安全管理的效率和效果，還能夠讓企業(yè)在日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中保持競爭力。