本文来自微信公众号“安永EY”。
前言
随着企业对网络安全管理的不断完善以及信息安全管理体系(ISMS)的建立,如何有效管理这一体系,确保其与企业的战略目标和运营需求保持一致,成为企业面临的重要挑战。对ISMS的监视、测量、分析和评价可以为企业提供实时风险管理、合规性保障、业务连续性维护以及决策支持,是企业持续提升信息安全性能和增强客户信任的关键。本文将深度解析GB/T 31497-2024/ISO/IEC 27004:2016《信息技术安全技术信息安全管理监视、测量、分析和评价》(以下简称GB/T 31497-2024)标准的核心内容,并结合多数企业实施现状,提供一系列实用的实践指南。
标准要点分析
1
特征
监视和测量是信息安全绩效评估的起点,企业应首先明确目标以确定信息需求,然后选择合适的测度和数据以满足这些需求。
监视什么:企业应监视ISMS过程的实施、过程和活动,并收集产生的数据(如日志、访谈、统计)来识别风险并支持决策,但需确保数据获取的时效性以准确评估和响应。
测量什么:企业应测量ISMS过程和活动的实施进度以及控制措施和控制措施组的有效性,以帮助识别潜在的改进需求。
何时监视、测量、分析和评价:企业应根据信息需求和数据生命周期制定具体时间表,确保数据收集频次适应分析和报告需求、在分析前积累足够数据、随环境变化调整监视活动。
谁来监视、测量、分析和评价:企业需明确分配负责的角色,并确保他们具备所需技能。
2
测度的类型
企业可以通过两种主要的测度方法来量化其规划活动的实施进度和结果的有效性:
实施进度测度:通过所规划活动的特征,如人数、里程碑完成情况或信息安全控制措施实施的程度来表示所规划的结果;关注已经实施的信息安全过程和控制措施的进展情况。
有效性测度:表示所规划活动对企业信息安全目标的影响;关注所规划活动已经实现的程度和预期的结果。
企业需要考虑不同阶段对测度的关注重点。一旦所有实施进度测度稳定在100%,企业应将重点转向有效性测度,同时保留实施进度测度以识别潜在的改进领域。
3
过程
标准为企业提供了一个系统化的方法来监视、测量、分析和评价ISMS的有效性:
企业还应包括对上述过程进行评审和改进的ISMS管理过程以实现持续发展,并注意保留相关文档化信息作为监视和测量结果的证据,确保信息能适当地传达给所有利益相关方。
企业实践建议
1
管理层面
建立评估机制:企业应结合法律法规要求、企业自身信息安全目标、策略和要求等,建立完善的ISMS评估机制。应在当前ISMS文档架构的基础上,补充完善ISMS评估制度,确定监视、测量、分析和评价的指标和流程,并根据实际情况设计相关工具模板。
定期汇报改进:企业应定期评审监视、测量、分析和评价的过程和结果并编制报告,供管理层决策使用。企业还应根据评审结果及内外部环境变化调整和改进ISMS,以适应不断变化的安全威胁和业务需求。
2
实施层面
定制测度标准:企业应充分理解ISMS要求,包括法律法规、国际标准、集团要求等,并根据自身特点定制需要测度的标准。定制测度标准的过程中应充分考虑规模、行业、成熟度等要素,并包含组织控制、人员控制、物理控制、技术控制等方面。
开展评估及文档化:企业应根据自身需求优先级及相关测度指标的可获得性,制定详细的评估计划,如确定实施进度测度及有效性测度的优先顺序等。评估过程中还应注意保留适当的文档化信息,以便在必要时与管理层和其他利益相关方进行有效沟通。
3
技术层面
信息安全测量模型:企业在进行ISMS评估过程中可以构建适当的量化模型,将对信息安全绩效和ISMS有效性进行量化。根据明确的测量方法,对过程、控制、文件化信息、系统、设备、人员和资源等属性进行评估,生成对各评估对象特征的基础测度。此外企业应依据实际情况和不同评估对象的特点,设计测量函数对基础测度进行转化,最终通过定制化的模型分析,输出能为管理者提供决策依据的指标。
利用技术工具:企业还可以根据自身需求和成本,考虑引入自动化的监测工具和专业的ISMS管理工具,以自动化方式完成测度的收集、分析和报告,减少所需的成本以及可能产生的人为错误。
结语
随着技术的不断进步和网络威胁的不断演变,企业必须不断审视和更新其信息安全策略,以确保业务运营和数据保护的可持续发展。GB/T 31497-2024为企业提供了一个全面的框架,以评估和改进ISMS。不仅能够帮助企业提高信息安全管理的效率和效果,还能够让企业在日益复杂的网络安全环境中保持竞争力。