本文來自微信公眾號(hào)“安永EY”。
前言
隨著企業(yè)對(duì)網(wǎng)絡(luò)安全管理的不斷完善以及信息安全管理體系(ISMS)的建立,如何有效管理這一體系,確保其與企業(yè)的戰(zhàn)略目標(biāo)和運(yùn)營(yíng)需求保持一致,成為企業(yè)面臨的重要挑戰(zhàn)。對(duì)ISMS的監(jiān)視、測(cè)量、分析和評(píng)價(jià)可以為企業(yè)提供實(shí)時(shí)風(fēng)險(xiǎn)管理、合規(guī)性保障、業(yè)務(wù)連續(xù)性維護(hù)以及決策支持,是企業(yè)持續(xù)提升信息安全性能和增強(qiáng)客戶信任的關(guān)鍵。本文將深度解析GB/T 31497-2024/ISO/IEC 27004:2016《信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測(cè)量、分析和評(píng)價(jià)》(以下簡(jiǎn)稱GB/T 31497-2024)標(biāo)準(zhǔn)的核心內(nèi)容,并結(jié)合多數(shù)企業(yè)實(shí)施現(xiàn)狀,提供一系列實(shí)用的實(shí)踐指南。
標(biāo)準(zhǔn)要點(diǎn)分析
1
特征
監(jiān)視和測(cè)量是信息安全績(jī)效評(píng)估的起點(diǎn),企業(yè)應(yīng)首先明確目標(biāo)以確定信息需求,然后選擇合適的測(cè)度和數(shù)據(jù)以滿足這些需求。
監(jiān)視什么:企業(yè)應(yīng)監(jiān)視ISMS過程的實(shí)施、過程和活動(dòng),并收集產(chǎn)生的數(shù)據(jù)(如日志、訪談、統(tǒng)計(jì))來識(shí)別風(fēng)險(xiǎn)并支持決策,但需確保數(shù)據(jù)獲取的時(shí)效性以準(zhǔn)確評(píng)估和響應(yīng)。
測(cè)量什么:企業(yè)應(yīng)測(cè)量ISMS過程和活動(dòng)的實(shí)施進(jìn)度以及控制措施和控制措施組的有效性,以幫助識(shí)別潛在的改進(jìn)需求。
何時(shí)監(jiān)視、測(cè)量、分析和評(píng)價(jià):企業(yè)應(yīng)根據(jù)信息需求和數(shù)據(jù)生命周期制定具體時(shí)間表,確保數(shù)據(jù)收集頻次適應(yīng)分析和報(bào)告需求、在分析前積累足夠數(shù)據(jù)、隨環(huán)境變化調(diào)整監(jiān)視活動(dòng)。
誰來監(jiān)視、測(cè)量、分析和評(píng)價(jià):企業(yè)需明確分配負(fù)責(zé)的角色,并確保他們具備所需技能。
2
測(cè)度的類型
企業(yè)可以通過兩種主要的測(cè)度方法來量化其規(guī)劃活動(dòng)的實(shí)施進(jìn)度和結(jié)果的有效性:
實(shí)施進(jìn)度測(cè)度:通過所規(guī)劃活動(dòng)的特征,如人數(shù)、里程碑完成情況或信息安全控制措施實(shí)施的程度來表示所規(guī)劃的結(jié)果;關(guān)注已經(jīng)實(shí)施的信息安全過程和控制措施的進(jìn)展情況。
有效性測(cè)度:表示所規(guī)劃活動(dòng)對(duì)企業(yè)信息安全目標(biāo)的影響;關(guān)注所規(guī)劃活動(dòng)已經(jīng)實(shí)現(xiàn)的程度和預(yù)期的結(jié)果。
企業(yè)需要考慮不同階段對(duì)測(cè)度的關(guān)注重點(diǎn)。一旦所有實(shí)施進(jìn)度測(cè)度穩(wěn)定在100%,企業(yè)應(yīng)將重點(diǎn)轉(zhuǎn)向有效性測(cè)度,同時(shí)保留實(shí)施進(jìn)度測(cè)度以識(shí)別潛在的改進(jìn)領(lǐng)域。
3
過程
標(biāo)準(zhǔn)為企業(yè)提供了一個(gè)系統(tǒng)化的方法來監(jiān)視、測(cè)量、分析和評(píng)價(jià)ISMS的有效性:
企業(yè)還應(yīng)包括對(duì)上述過程進(jìn)行評(píng)審和改進(jìn)的ISMS管理過程以實(shí)現(xiàn)持續(xù)發(fā)展,并注意保留相關(guān)文檔化信息作為監(jiān)視和測(cè)量結(jié)果的證據(jù),確保信息能適當(dāng)?shù)貍鬟_(dá)給所有利益相關(guān)方。
企業(yè)實(shí)踐建議
1
管理層面
建立評(píng)估機(jī)制:企業(yè)應(yīng)結(jié)合法律法規(guī)要求、企業(yè)自身信息安全目標(biāo)、策略和要求等,建立完善的ISMS評(píng)估機(jī)制。應(yīng)在當(dāng)前ISMS文檔架構(gòu)的基礎(chǔ)上,補(bǔ)充完善ISMS評(píng)估制度,確定監(jiān)視、測(cè)量、分析和評(píng)價(jià)的指標(biāo)和流程,并根據(jù)實(shí)際情況設(shè)計(jì)相關(guān)工具模板。
定期匯報(bào)改進(jìn):企業(yè)應(yīng)定期評(píng)審監(jiān)視、測(cè)量、分析和評(píng)價(jià)的過程和結(jié)果并編制報(bào)告,供管理層決策使用。企業(yè)還應(yīng)根據(jù)評(píng)審結(jié)果及內(nèi)外部環(huán)境變化調(diào)整和改進(jìn)ISMS,以適應(yīng)不斷變化的安全威脅和業(yè)務(wù)需求。
2
實(shí)施層面
定制測(cè)度標(biāo)準(zhǔn):企業(yè)應(yīng)充分理解ISMS要求,包括法律法規(guī)、國(guó)際標(biāo)準(zhǔn)、集團(tuán)要求等,并根據(jù)自身特點(diǎn)定制需要測(cè)度的標(biāo)準(zhǔn)。定制測(cè)度標(biāo)準(zhǔn)的過程中應(yīng)充分考慮規(guī)模、行業(yè)、成熟度等要素,并包含組織控制、人員控制、物理控制、技術(shù)控制等方面。
開展評(píng)估及文檔化:企業(yè)應(yīng)根據(jù)自身需求優(yōu)先級(jí)及相關(guān)測(cè)度指標(biāo)的可獲得性,制定詳細(xì)的評(píng)估計(jì)劃,如確定實(shí)施進(jìn)度測(cè)度及有效性測(cè)度的優(yōu)先順序等。評(píng)估過程中還應(yīng)注意保留適當(dāng)?shù)奈臋n化信息,以便在必要時(shí)與管理層和其他利益相關(guān)方進(jìn)行有效溝通。
3
技術(shù)層面
信息安全測(cè)量模型:企業(yè)在進(jìn)行ISMS評(píng)估過程中可以構(gòu)建適當(dāng)?shù)牧炕P?,將?duì)信息安全績(jī)效和ISMS有效性進(jìn)行量化。根據(jù)明確的測(cè)量方法,對(duì)過程、控制、文件化信息、系統(tǒng)、設(shè)備、人員和資源等屬性進(jìn)行評(píng)估,生成對(duì)各評(píng)估對(duì)象特征的基礎(chǔ)測(cè)度。此外企業(yè)應(yīng)依據(jù)實(shí)際情況和不同評(píng)估對(duì)象的特點(diǎn),設(shè)計(jì)測(cè)量函數(shù)對(duì)基礎(chǔ)測(cè)度進(jìn)行轉(zhuǎn)化,最終通過定制化的模型分析,輸出能為管理者提供決策依據(jù)的指標(biāo)。
利用技術(shù)工具:企業(yè)還可以根據(jù)自身需求和成本,考慮引入自動(dòng)化的監(jiān)測(cè)工具和專業(yè)的ISMS管理工具,以自動(dòng)化方式完成測(cè)度的收集、分析和報(bào)告,減少所需的成本以及可能產(chǎn)生的人為錯(cuò)誤。
結(jié)語
隨著技術(shù)的不斷進(jìn)步和網(wǎng)絡(luò)威脅的不斷演變,企業(yè)必須不斷審視和更新其信息安全策略,以確保業(yè)務(wù)運(yùn)營(yíng)和數(shù)據(jù)保護(hù)的可持續(xù)發(fā)展。GB/T 31497-2024為企業(yè)提供了一個(gè)全面的框架,以評(píng)估和改進(jìn)ISMS。不僅能夠幫助企業(yè)提高信息安全管理的效率和效果,還能夠讓企業(yè)在日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中保持競(jìng)爭(zhēng)力。