信息技術(shù)—安全技術(shù)—信息安全管理—測(cè)量27004N6614(FCD)標(biāo)準(zhǔn)草案目錄0介紹 40.1概述 40.2管理層概述 41范圍 52規(guī)范性引用 53術(shù)語(yǔ)和定義 54本標(biāo)準(zhǔn)的結(jié)構(gòu) 95信息安全測(cè)量概述 95.1信息安全目標(biāo) 95.2信息安全測(cè)量項(xiàng)目 105.3信息安全測(cè)量模型 125.3.1基本測(cè)度和測(cè)量方法 135.3.2導(dǎo)出測(cè)度和測(cè)量函數(shù) 135.3.3指標(biāo)和分析模型 145.3.4測(cè)量結(jié)果和決策準(zhǔn)則 156.管理職責(zé) 156.1概述 156.2資源管理 166.3測(cè)量培訓(xùn)，意識(shí)和能力 167.測(cè)度和測(cè)量開發(fā) 167.1概述 167.2測(cè)量范圍識(shí)別 167.3信息需要識(shí)別 177.4對(duì)象識(shí)別 187.5測(cè)量開發(fā)和選擇 187.5.1測(cè)量方法 187.5.2測(cè)量函數(shù) 197.5.3利益相關(guān)方 197.5.4屬性選擇和評(píng)審 197.5.5分析模型 207.5.6指標(biāo)和報(bào)告格式 207.5.7決策準(zhǔn)則 207.6測(cè)度證實(shí) 217.7數(shù)據(jù)收集、分析和報(bào)告 217.8記錄 228.測(cè)量運(yùn)行 228.1概述 228.2規(guī)程整合 228.3數(shù)據(jù)收集和處理 239.測(cè)量分析和報(bào)告 239.1概述 239.2分析數(shù)據(jù)和產(chǎn)生測(cè)量結(jié)果 239.3溝通結(jié)果 2410.測(cè)量項(xiàng)目評(píng)價(jià)和改進(jìn) 2510.1概述 2510.2識(shí)別測(cè)量項(xiàng)目的評(píng)價(jià)準(zhǔn)則 2510.3監(jiān)控、評(píng)審與評(píng)價(jià)測(cè)量項(xiàng)目 2610.4實(shí)施改進(jìn) 26附錄A（資料性附錄）信息安全測(cè)量模板 27附錄B（資料性附錄）測(cè)度范例 29參考文獻(xiàn) 310介紹0.1概述本國(guó)際標(biāo)準(zhǔn)就測(cè)度和測(cè)量的開發(fā)和使用提供了指南和建議，以評(píng)估信息安全管理體系（ISMS）的有效性，包括ISO/IEC27001中用來(lái)實(shí)施和管理信息安全的ISMS策略、控制目標(biāo)和安全控制措施。通過(guò)使用信息安全測(cè)度，組織能識(shí)別現(xiàn)有信息安全管理體系的充分性，包括策略、風(fēng)險(xiǎn)管理、控制目標(biāo)、控制措施、過(guò)程和規(guī)程，并支持組織進(jìn)行過(guò)程的修訂，決定哪些ISMS過(guò)程或控制措施應(yīng)該變更和改進(jìn)。對(duì)該方法的實(shí)施組成了一個(gè)信息安全測(cè)量項(xiàng)目。信息安全測(cè)量項(xiàng)目將幫助管理層識(shí)別和評(píng)價(jià)不符合和無(wú)效的控制措施，以及排列與這些控制措施改進(jìn)或變更相關(guān)行動(dòng)的優(yōu)先次序。測(cè)量項(xiàng)目也能幫助組織展示與ISO/IEC27001標(biāo)準(zhǔn)的符合程度，并能產(chǎn)生管理評(píng)審過(guò)程的輸入。對(duì)信息安全測(cè)量項(xiàng)目的實(shí)施，應(yīng)該優(yōu)先保證向利益相關(guān)方提供了關(guān)于各種最嚴(yán)重（或是最高優(yōu)先級(jí)別）風(fēng)險(xiǎn)及其處置/控制措施狀態(tài)的可靠信息。本國(guó)際標(biāo)準(zhǔn)假定開發(fā)測(cè)量的起點(diǎn)是對(duì)組織和利益相關(guān)方所面臨信息安全風(fēng)險(xiǎn)的充分理解，并且風(fēng)險(xiǎn)評(píng)估過(guò)程已經(jīng)按照ISO/IEC27001要求得到了正確地實(shí)施。一個(gè)有效的信息安全測(cè)量項(xiàng)目應(yīng)改進(jìn)利益相關(guān)方對(duì)可提供狀態(tài)信息的各種測(cè)量的信心，并使利益相關(guān)方能使用這些測(cè)量有效持續(xù)改進(jìn)信息安全和信息安全管理體系。本國(guó)際標(biāo)準(zhǔn)的使用能夠支持對(duì)一段時(shí)間內(nèi)信息安全目標(biāo)達(dá)成情況的比較，以作為組織信息安全管理體系持續(xù)改進(jìn)過(guò)程的一部分。本指南包括：開發(fā)測(cè)度；實(shí)施和運(yùn)行一個(gè)信息安全測(cè)量項(xiàng)目；向利益相關(guān)方收集、分析和溝通測(cè)度；使用所收集的測(cè)度來(lái)幫助信息安全管理體系的相關(guān)決策；使用所收集的測(cè)度來(lái)有效改進(jìn)信息安全管理體系的控制目標(biāo)和控制措施；促進(jìn)信息安全測(cè)量項(xiàng)目的持續(xù)改進(jìn)。本國(guó)際標(biāo)準(zhǔn)提供了模板，可能對(duì)測(cè)量的管理有所幫助。0.2管理層概述ISO/IEC27001要求管理層“定義怎樣測(cè)量所選擇的一個(gè)或一組控制措施的有效性，并指明這些測(cè)度是怎樣被用來(lái)評(píng)估控制措施有效性，以產(chǎn)生可比較和可再現(xiàn)的結(jié)果?！惫J(rèn)地，根據(jù)多種因素，包括風(fēng)險(xiǎn)暴露、規(guī)模、資源可用性、能力、行為和部門需求的不同，被組織采用來(lái)測(cè)量控制措施有效性的方法也有所不同。仔細(xì)地選擇和證明所使用的方法是很重要的，這可以保證過(guò)多的資源不被投入到信息安全管理體系中某個(gè)方面，從而損害到其它必要的領(lǐng)域。明智地，應(yīng)該將控制措施有效性測(cè)量納入到組織的日常運(yùn)作中，包括最小的附加資源需求，以滿足對(duì)測(cè)量的持續(xù)需求。對(duì)所有組織來(lái)說(shuō)，基本規(guī)程的要求已概括在0.1（指南列表）中。然而，某個(gè)因素（如系統(tǒng)規(guī)模）可能影響組織測(cè)量控制措施有效性。一般而言，業(yè)務(wù)的規(guī)模和復(fù)雜度，及其與信息安全重要性的組合，將影響所需測(cè)量的擴(kuò)展程度，無(wú)論是測(cè)度數(shù)量還是測(cè)量頻度。中小企業(yè)可以實(shí)施基本理解意義上的信息安全測(cè)量項(xiàng)目，而大企業(yè)則可能多個(gè)信息安全測(cè)量項(xiàng)目。在初始實(shí)施和適當(dāng)改進(jìn)措施被實(shí)施后，整個(gè)測(cè)量過(guò)程應(yīng)該被評(píng)審。本國(guó)際標(biāo)準(zhǔn)的使用將提供適當(dāng)?shù)奈臋n和支持，這將有助于展示控制措施有效性正在被測(cè)量和評(píng)估。1范圍本國(guó)際標(biāo)準(zhǔn)為開發(fā)和使用測(cè)量提供了指南，以評(píng)估ISO/IEC27001中所描述的信息安全管理體系（ISMS）過(guò)程、控制目標(biāo)以及控制措施的有效性。本國(guó)際標(biāo)準(zhǔn)適用于任何類型和規(guī)模的組織。2規(guī)范性引用以下的引用文檔對(duì)本文的應(yīng)用是不可缺少的。對(duì)那些標(biāo)有日期的引用，只有該引用的版本才適用。對(duì)于沒(méi)有標(biāo)日期的引用，應(yīng)使用最新版本（包括任何修正文檔）。ISO/IEC27001，信息技術(shù)——安全技術(shù)——信息安全管理體系――要求3術(shù)語(yǔ)和定義以下術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)：3.1測(cè)量分析模型analyticalmodelformeasurement分析模型analyticalmodel將一個(gè)或多個(gè)基本測(cè)度和/或?qū)С鰷y(cè)度與相關(guān)決策準(zhǔn)則組合在一起的算法或計(jì)算。3.2屬性attribute可由人或自動(dòng)化工具定量或定性辨別的實(shí)體特征或特性。[ISO/IEC15939:2007]3.3基本測(cè)度basemeasure用某個(gè)屬性及其量化方法定義的測(cè)度。[ISO/IEC15939:2007]注1：一個(gè)基本測(cè)度在功能上獨(dú)立于其它測(cè)度。3.4控制措施control管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的。[ISO/IEC27002:2005]注：控制措施也用于防護(hù)措施或?qū)Σ叩耐x詞。3.5數(shù)據(jù)data賦予基本測(cè)度、導(dǎo)出測(cè)度和（或）指標(biāo)的值的集合。[ISO/IEC15939:2007]3.6決策準(zhǔn)則decisioncriteria用于確定是否需要行動(dòng)或進(jìn)一步調(diào)查的，或者用于描述給定結(jié)果置信度的閾值、目標(biāo)或模式。[ISO/IEC15939:2007]3.7導(dǎo)出測(cè)度derivedmeasure定義為兩個(gè)或兩個(gè)以上基本測(cè)度的函數(shù)的測(cè)度。[ISO/IEC15939:2007]3.8指標(biāo)indicator對(duì)由規(guī)定信息需要的相關(guān)模型導(dǎo)出的指定屬性提供估算或評(píng)價(jià)的測(cè)度。[ISO/IEC15939:2007]3.9信息需要informationneed為管理目標(biāo)、目的、風(fēng)險(xiǎn)和問(wèn)題所必需的見(jiàn)解。[ISO/IEC15939:2007]3.10信息安全管理體系informationsecuritymanagementsystem(ISMS)整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)控、核查、維持和改進(jìn)信息安全[ISO/IEC27001:2005]。注：管理系統(tǒng)包括組織結(jié)構(gòu)，策略，計(jì)劃活動(dòng)，責(zé)任，實(shí)踐，規(guī)程，過(guò)程和資源。3.11ISMS有效性ISMSeffectiveness信息安全活動(dòng)滿足組織目標(biāo)的程度。注：在本標(biāo)準(zhǔn)中，效率僅關(guān)注于控制措施的有效性。3.12測(cè)度Measure一個(gè)變量，該變量被賦值，作為執(zhí)行一次測(cè)量的結(jié)果。[ISO/IEC15939:2007]注：術(shù)語(yǔ)”measures”用來(lái)指基本測(cè)度、導(dǎo)出測(cè)度，以及指標(biāo)。3.13測(cè)量measurement一個(gè)過(guò)程，包括信息安全管理體系和用以實(shí)現(xiàn)控制目標(biāo)的控制措施的有效性，以及信息安全管理體系各過(guò)程性能相關(guān)信息的獲取，以及測(cè)量方法、測(cè)量函數(shù)、測(cè)量模型及測(cè)量準(zhǔn)則的使用。3.14測(cè)量函數(shù)measurementfunction為組合兩個(gè)或兩個(gè)以上基本測(cè)度而執(zhí)行的算法或計(jì)算。[ISO/IEC15939:2007]3.15測(cè)量方法measurementmethod一般地描述為，用于以指定的標(biāo)度量化屬性的邏輯操作序列。[ISO/IEC15939:2007]注：測(cè)量方法類型取決于用來(lái)量化屬性的操作的性質(zhì)?？煞譃閮煞N類型：主觀類――涉及人為判斷的量化；客觀類――基于數(shù)字規(guī)則的量化。3.16測(cè)量結(jié)果measurementresults針對(duì)信息安全需求的一個(gè)或多個(gè)指標(biāo)及其相關(guān)的解釋。3.17對(duì)象object一個(gè)對(duì)象通過(guò)對(duì)其屬性的測(cè)量得以識(shí)別3.18標(biāo)度scale一組有序的連續(xù)或離散值，或與屬性映射的類目。[ISO/IEC15939:2007]注：標(biāo)度類型取決于標(biāo)度值間關(guān)系的性質(zhì)，通常定義四種類型的標(biāo)度：標(biāo)稱標(biāo)度――測(cè)量值是類目；順序標(biāo)度――測(cè)量值是隊(duì)列；間隔標(biāo)度――測(cè)量值的等距與屬性的等量對(duì)應(yīng)；比率標(biāo)度――測(cè)量值的等距與屬性的等量對(duì)應(yīng)，其中零值對(duì)應(yīng)于無(wú)屬性。3.19測(cè)量單位unitofmeasurement按約定定義和采用的具體量，其他同類量與這個(gè)量進(jìn)行比較，用以表示它們相對(duì)于這個(gè)量的大小。[ISO/IEC15939:2007]3.20確認(rèn)證實(shí)validation通過(guò)提供客觀證據(jù)，證實(shí)對(duì)某個(gè)有意使用或應(yīng)用的需求已經(jīng)得到滿足。3.21驗(yàn)證verification通過(guò)提供客觀證據(jù)，證實(shí)特定的要求已經(jīng)得到滿足。注：也稱為符合性測(cè)試4本標(biāo)準(zhǔn)的結(jié)構(gòu)除了為開發(fā)和使用測(cè)量提供了指南，以評(píng)估ISO/IEC27001中所描述的信息安全管理體系（ISMS）過(guò)程、控制目標(biāo)以及控制措施的有效性外，本國(guó)際標(biāo)準(zhǔn)還提供了對(duì)測(cè)量過(guò)程及其活動(dòng)的描述。對(duì)信息安全測(cè)量項(xiàng)目及其模型的概述和背景信息見(jiàn)第5節(jié)。管理職責(zé)見(jiàn)第6節(jié)。第7節(jié)到第10節(jié)描述了測(cè)量項(xiàng)目中的各過(guò)程（詳見(jiàn)5.2）。如何開發(fā)和記錄測(cè)量的附加信息見(jiàn)附錄。附錄A提供了測(cè)量模板的范例，附錄B提供了使用附錄A中模板的測(cè)量范例。5信息安全測(cè)量概述5.1信息安全目標(biāo)在信息安全管理體系背景下，測(cè)量項(xiàng)目的目標(biāo)可以包括：評(píng)價(jià)所實(shí)施信息安全控制目標(biāo)和控制措施的有效性；評(píng)價(jià)信息安全管理體系有效性，包括持續(xù)改進(jìn)循環(huán)；基于組織整體業(yè)務(wù)風(fēng)險(xiǎn)，促進(jìn)信息安全的性能改進(jìn)；提供客觀數(shù)據(jù)和分析，來(lái)幫助管理評(píng)審、輔助決策，以及向管理層證明控制措施的改進(jìn)；為安全審核提供輸入；向相關(guān)的利益相關(guān)方溝通信息安全的有效性；作為風(fēng)險(xiǎn)管理過(guò)程的輸入；為對(duì)有效性的內(nèi)部比較和內(nèi)部打分提供信息；以及支持對(duì)所識(shí)別安全需求滿足到何種程度的驗(yàn)證。一個(gè)特定組織的測(cè)量項(xiàng)目應(yīng)當(dāng)基于大量的考慮，包括：在支持組織整體業(yè)務(wù)活動(dòng)和所面臨的風(fēng)險(xiǎn)方面，信息安全所扮演的角色；基于客觀測(cè)量的持續(xù)改進(jìn)；適用的法律、規(guī)章，以及合同要求；組織的架構(gòu)；實(shí)施信息安全測(cè)量的成本和收益；以及組織對(duì)風(fēng)險(xiǎn)的接受態(tài)度。圖1解釋了與ISO/IEC27001中描述的PDCA循環(huán)相比，測(cè)量活動(dòng)的輸入－輸入循環(huán)關(guān)系。圖1PDCA循環(huán)中的測(cè)量輸入與輸出為了達(dá)到信息安全測(cè)量所建立的目標(biāo)，并在所有測(cè)量活動(dòng)中實(shí)施PDCA循環(huán)，組織應(yīng)該建立并管理一個(gè)信息安全測(cè)項(xiàng)目（見(jiàn)5.2）。為獲得基于信息安全測(cè)量模型（見(jiàn)5.3）的可重復(fù)的、客觀的和有用的結(jié)果，組織還應(yīng)建立一個(gè)測(cè)量活動(dòng)框架。5.2信息安全測(cè)量項(xiàng)目一個(gè)信息安全測(cè)量項(xiàng)目通過(guò)使用測(cè)度，識(shí)別和評(píng)價(jià)信息安全管理體系的充分性和有效性，并對(duì)改進(jìn)現(xiàn)有控制措施和整體信息安全管理體系的需求進(jìn)行識(shí)別。為了策劃和組織多種和大量的測(cè)量，并為在一個(gè)指定的時(shí)間段和/或時(shí)期內(nèi)有效和高效地執(zhí)行測(cè)量提供資源，一個(gè)測(cè)量項(xiàng)目包括了所有必要的活動(dòng)。組織可以建立一個(gè)以上的測(cè)量項(xiàng)目。管理層應(yīng)該為測(cè)量項(xiàng)目建立角色和職責(zé)。一個(gè)測(cè)量項(xiàng)目應(yīng)包括以下過(guò)程：測(cè)度和測(cè)量的開發(fā)（見(jiàn)第7節(jié)）；測(cè)量的運(yùn)行（見(jiàn)第8節(jié)）；測(cè)度的分析和報(bào)告（見(jiàn)第9節(jié)）；以及測(cè)量項(xiàng)目改進(jìn)（見(jiàn)第10節(jié)）。圖2展示了測(cè)量項(xiàng)目管理的過(guò)程流。圖2測(cè)量項(xiàng)目管理過(guò)程流示意圖通過(guò)測(cè)量的使用——信息安全測(cè)量項(xiàng)目的一個(gè)關(guān)鍵元素，可以對(duì)現(xiàn)有控制措施和過(guò)程進(jìn)行評(píng)價(jià)來(lái)確定這些控制措施和過(guò)程是否充分和有效，或是這些控制措施和過(guò)程是否需要被改進(jìn)或變更，從而改進(jìn)整個(gè)信息安全管理體系。為了成功達(dá)成信息安全管理體系的持續(xù)改進(jìn)，信息安全測(cè)量項(xiàng)目應(yīng)當(dāng)考慮，例如，以下要素的適當(dāng)組合：管理層的承諾并有適當(dāng)資源支持；信息安全管理體系各過(guò)程和規(guī)程的存在；能夠捕獲和報(bào)告有意義數(shù)據(jù)的過(guò)程；基于信息安全管理體系目標(biāo)的定量安全測(cè)度；易于獲取和測(cè)量的定量安全測(cè)度；一個(gè)可重復(fù)的過(guò)程，以提供一段時(shí)間的相關(guān)趨勢(shì)；一個(gè)有用的追蹤過(guò)程，以支持有效地調(diào)配資源；以一種有意義的方式，一致、定期地收集、分析和報(bào)告測(cè)量數(shù)據(jù)；利益相關(guān)方使用信息安全管理體系測(cè)量結(jié)果，來(lái)改進(jìn)現(xiàn)有信息安全管理體系過(guò)程和控制措施的有效性；一個(gè)反饋環(huán)，以支持整體改進(jìn)；對(duì)所產(chǎn)生結(jié)果有用性的評(píng)價(jià)；以及風(fēng)險(xiǎn)管理過(guò)程的輸入機(jī)制，來(lái)輔助對(duì)控制措施選擇、實(shí)施以及資源分配的優(yōu)先順序。一旦成功實(shí)施，信息安全測(cè)量項(xiàng)目能：展示組織與適用法律、法規(guī)、規(guī)章的符合性；支持對(duì)以前未檢測(cè)到的未知信息安全因素的識(shí)別；當(dāng)描述歷史和當(dāng)前活動(dòng)的測(cè)量時(shí)，有助于滿足向管理層的報(bào)告需求；以及被用作信息安全管理體系內(nèi)審和管理評(píng)審的輸入。5.3信息安全測(cè)量模型信息安全測(cè)量模型將單個(gè)的簡(jiǎn)單測(cè)度納入更復(fù)雜的組合測(cè)度，從而提供全面的和一致的測(cè)量結(jié)果，可以不斷重復(fù)地用于基準(zhǔn)測(cè)試和比較。圖3中描述了一個(gè)信息安全測(cè)量模型。通過(guò)應(yīng)用該模型所開發(fā)的測(cè)量范例見(jiàn)附錄B。圖3信息安全測(cè)量模型以下各子節(jié)將使用這樣一個(gè)范例來(lái)描述模型中的各元素：策略要求所有員工在被授權(quán)訪問(wèn)信息系統(tǒng)前，應(yīng)被適當(dāng)告知信息處理的規(guī)則。兩個(gè)控制措施被定義來(lái)實(shí)施該策略：所有員工在被授權(quán)訪問(wèn)信息系統(tǒng)前，必須簽署用戶協(xié)議；以及所有員工在被授權(quán)訪問(wèn)信息系統(tǒng)前，必須接受信息安全意識(shí)培訓(xùn)。5.3.1基本測(cè)度和測(cè)量方法一個(gè)測(cè)量對(duì)象可能會(huì)有多個(gè)屬性，只有這些屬性中的一些為基本測(cè)度提供輸入是有用的。對(duì)測(cè)量對(duì)象的各種屬性應(yīng)用測(cè)量方法，得到基本測(cè)度。一個(gè)給定的屬性可被用在多個(gè)不同的測(cè)量上。一個(gè)測(cè)量方法是用于以指定的標(biāo)度量化屬性的邏輯操作序列。測(cè)量方法可以通過(guò)各類資源使用測(cè)量對(duì)象的數(shù)據(jù)，例如：a)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析結(jié)果；b)調(diào)查表和個(gè)人面談；c)內(nèi)部或外部審計(jì)報(bào)告；d)事件記錄，如日志、報(bào)表統(tǒng)計(jì)、審計(jì)軌跡等；e)事故報(bào)告，尤其是那些造成影響發(fā)生的事故；f)測(cè)試結(jié)果，如滲透性測(cè)試、社交工程、符合性工具和安全審計(jì)工具；以及g)信息安全意識(shí)培訓(xùn)結(jié)果。表1包含一個(gè)范例，說(shuō)明測(cè)量對(duì)象、屬性、測(cè)量方法和基本測(cè)度之間的關(guān)系。測(cè)量對(duì)象屬性測(cè)量方法基本測(cè)度員工安全意識(shí)過(guò)程員工數(shù)據(jù)庫(kù)中的員工記錄中的個(gè)人字段數(shù)據(jù)庫(kù)查詢，獲取已接受意識(shí)培訓(xùn)的員工數(shù)。數(shù)據(jù)庫(kù)查詢，獲取已簽署用戶協(xié)議的員工數(shù)。數(shù)據(jù)庫(kù)查詢，獲取已接受意識(shí)培訓(xùn)并已簽署用戶協(xié)議的員工數(shù)。數(shù)據(jù)庫(kù)查詢，獲取全體員工數(shù)。接受安全意識(shí)培訓(xùn)的員工數(shù)。簽署用戶協(xié)議的員工數(shù)。接受安全意識(shí)培訓(xùn)并簽署用戶協(xié)議的員工數(shù)。員工總數(shù)。5.3.2導(dǎo)出測(cè)度和測(cè)量函數(shù)導(dǎo)出測(cè)度通過(guò)對(duì)一個(gè)或多個(gè)基本測(cè)度應(yīng)用測(cè)量函數(shù)來(lái)定義。一個(gè)給定的基本測(cè)度可能被用作多個(gè)導(dǎo)出測(cè)度的輸入。一個(gè)測(cè)量函數(shù)是為組合兩個(gè)或兩個(gè)以上基本測(cè)度而執(zhí)行的算法或計(jì)算，定義了這些基本測(cè)度如何被聚合到一個(gè)導(dǎo)出測(cè)度。導(dǎo)出測(cè)度的標(biāo)度和單位依賴于其各組成基本測(cè)度的標(biāo)度和單位，以及組合函數(shù)。測(cè)量函數(shù)可能會(huì)包括多種不同的技術(shù)，如對(duì)所有基本測(cè)度取平均值，對(duì)基本測(cè)度應(yīng)用權(quán)重，或?qū)⑺鼈冑x予定性值。測(cè)量函數(shù)可能會(huì)使用不同標(biāo)度來(lái)組合各基本測(cè)度，如百分比和定性評(píng)估結(jié)果。表2包含一個(gè)范例，說(shuō)明基本測(cè)度、測(cè)量函數(shù)和導(dǎo)出測(cè)度之間的關(guān)系?；緶y(cè)度測(cè)量函數(shù)導(dǎo)出測(cè)度接受安全意識(shí)培訓(xùn)，并簽署用戶協(xié)議的員工數(shù)。簽署用戶協(xié)議的員工數(shù)。員工總數(shù)。將接受安全意識(shí)培訓(xùn)，并簽署用戶協(xié)議的員工數(shù)除以員工總數(shù)，乘以100%。將簽署用戶協(xié)議的員工數(shù)除以員工總數(shù)，乘以100%。接受安全意識(shí)和培訓(xùn)，并簽署用戶協(xié)議的員工百分比。簽署用戶協(xié)議的員工百分比。5.3.3指標(biāo)和分析模型通過(guò)對(duì)導(dǎo)出測(cè)度應(yīng)用分析模型，獲得指標(biāo)。分析模型是將一個(gè)或多個(gè)基本測(cè)度和/或?qū)С鰷y(cè)度與相關(guān)決策準(zhǔn)則組合在一起的算法或計(jì)算（見(jiàn)表3）。指標(biāo)是對(duì)由規(guī)定信息需要的相關(guān)模型導(dǎo)出的指定屬性提供估算或評(píng)價(jià)的測(cè)度。標(biāo)度和測(cè)量方法會(huì)影響產(chǎn)生指標(biāo)的分析技術(shù)的選擇。表3包含一個(gè)范例，說(shuō)明導(dǎo)出測(cè)度、分析模型和指標(biāo)之間的關(guān)系。導(dǎo)出測(cè)度分析模型指標(biāo)接受安全意識(shí)培訓(xùn)，并簽署用戶協(xié)議的員工百分比。簽署用戶協(xié)議的員工百分比。X＝已定義的組織可接受的策略符合性閾值。指標(biāo)值假設(shè)為“粗體”。如果X％的用戶簽署了用戶協(xié)議，指標(biāo)值變?yōu)椤靶斌w”。如果X％的用戶接受了安全意識(shí)培訓(xùn)并簽署了用戶協(xié)議，指標(biāo)值變?yōu)椤皹?biāo)準(zhǔn)體”。組織安全意識(shí)策略的符合性，在圖形上用粗體、斜體和標(biāo)準(zhǔn)體重新表示。注：如果使用顏色編碼，必須增強(qiáng)對(duì)顏色的描述，使用不同的陰影或不同的字體。目的為了保障視障用戶的使用，或者黑白打印的場(chǎng)合。以下章節(jié)同樣應(yīng)用。5.3.4測(cè)量結(jié)果和決策準(zhǔn)則基于已定義的決策準(zhǔn)則，對(duì)適用的指標(biāo)進(jìn)行解釋，可以得到測(cè)量結(jié)果的評(píng)價(jià)。測(cè)量結(jié)果應(yīng)當(dāng)考慮評(píng)估信息安全管理體系過(guò)程、控制目標(biāo)、控制措施有效性的整體測(cè)量目標(biāo)。決策準(zhǔn)則是用于確定是否需要行動(dòng)或進(jìn)一步調(diào)查的，或者用于描述給定結(jié)果置信度的閾值、目標(biāo)或模式。目標(biāo)是可應(yīng)用于組織整體或部分的詳細(xì)的性能規(guī)格，來(lái)自于信息安全目標(biāo)并需要被設(shè)置及達(dá)到，如信息安全管理體系目標(biāo)和控制目標(biāo)。表4包含一個(gè)范例，說(shuō)明指標(biāo)、決策準(zhǔn)則和測(cè)量結(jié)果之間的關(guān)系。指標(biāo)決策準(zhǔn)則測(cè)量結(jié)果組織安全意識(shí)策略的符合性，在圖形上用粗體、斜體和標(biāo)準(zhǔn)體重新表示。標(biāo)準(zhǔn)體——符合策略。斜體和粗體——不符合策略。向上趨勢(shì)顯示符合性得到改進(jìn)，向下趨勢(shì)顯示符合性的惡化。傾斜角度可能提供了控制措施實(shí)施有效性的見(jiàn)解。任何方向的陡峭斜線顯示對(duì)控制措施的實(shí)施需要做仔細(xì)的檢查，來(lái)判斷這種情況的原因。消極趨勢(shì)可能需要管理層的干預(yù)。積極趨勢(shì)應(yīng)該進(jìn)行檢查，來(lái)識(shí)別潛在的最佳實(shí)踐。符合策略――不需要變更。不符合策略――應(yīng)該考慮修訂（策略）。6.管理職責(zé)6.1概述在信息安全管理體系范圍內(nèi)，管理層負(fù)責(zé)建立信息安全測(cè)量項(xiàng)目，引入不同的利益相關(guān)方（見(jiàn)7.4.3），并使用測(cè)量結(jié)果來(lái)作為監(jiān)控和改進(jìn)信息安全的輸入。為此，管理層應(yīng)：為信息安全項(xiàng)目建立一個(gè)策略；建立信息安全項(xiàng)目的角色和職責(zé)；確保信息安全項(xiàng)目目標(biāo)的達(dá)成（見(jiàn)5.1）；提供充足的資源來(lái)執(zhí)行信息安全測(cè)量項(xiàng)目；確保適當(dāng)?shù)幕A(chǔ)設(shè)施到位；確保使用適當(dāng)?shù)墓ぞ邎?zhí)行測(cè)量過(guò)程；建立測(cè)量結(jié)果的目標(biāo)；確保測(cè)量向組織內(nèi)各利益相關(guān)方提供了充足的信息（正如7.4.3節(jié)所定義的），以有效監(jiān)控各控制措施的有效性，并/或識(shí)別整體控制措施架構(gòu)的缺陷；管理層應(yīng)通過(guò)適當(dāng)分配測(cè)量相關(guān)的角色和責(zé)任，保證測(cè)量結(jié)果不受到被測(cè)量對(duì)象所有者的影響。這可能是通過(guò)職責(zé)分割，或如果這不可能，通過(guò)使用允許獨(dú)立檢查的詳細(xì)記錄來(lái)實(shí)現(xiàn)。6.2資源管理管理層應(yīng)該分配和提供資源來(lái)支持信息安全測(cè)量的必要功能，例如數(shù)據(jù)收集、分析、存儲(chǔ)、報(bào)告和分發(fā)。資源分配應(yīng)包括以下方面的分配：負(fù)責(zé)信息安全測(cè)量項(xiàng)目所有方面的人員；適當(dāng)?shù)呢?cái)務(wù)支持；以及適當(dāng)?shù)幕A(chǔ)設(shè)施支持，例如用于測(cè)量過(guò)程的物理基礎(chǔ)設(shè)施和工具。6.3測(cè)量培訓(xùn)，意識(shí)和能力管理層應(yīng)保證:參與測(cè)量設(shè)計(jì)和使用的所有職員在模型和項(xiàng)目上被充分培訓(xùn)，并且有適當(dāng)?shù)哪芰?lái)履行他們的角色；以及使用測(cè)量的所有職員理解他們職責(zé)中有一部分是要為過(guò)程改進(jìn)提供建議，這可能包括建議不同的測(cè)量。7.測(cè)度和測(cè)量開發(fā)7.1概述本節(jié)描述了為了量化信息安全管理體系、控制目標(biāo)和控制措施的有效性，并識(shí)別針對(duì)特定利益相關(guān)方的一套測(cè)量，怎樣來(lái)開發(fā)測(cè)量。這些測(cè)量將通過(guò)提供評(píng)估信息安全管理體系有效性的多種手段，以及支持組織內(nèi)信息安全的持續(xù)改進(jìn)，進(jìn)一步加強(qiáng)信息安全管理體系的性能。7.2測(cè)量范圍識(shí)別測(cè)量開發(fā)的過(guò)程應(yīng)該被建立和記錄，包括選擇用于測(cè)量的具體控制措施和控制目標(biāo)，識(shí)別這些對(duì)象的各種測(cè)量屬性，明確測(cè)量，并且建立數(shù)據(jù)收集、分析、報(bào)告的各種過(guò)程與工具。計(jì)劃過(guò)程應(yīng)包括識(shí)別財(cái)力、人力，以及基礎(chǔ)設(shè)施（物理的和工具的）資源。管理層有責(zé)任來(lái)提供這些資源，以保證信息安全測(cè)量的成功實(shí)施。取決于組織的能力和資源，組織信息安全測(cè)量活動(dòng)的最初范圍可能會(huì)被限制在管理層給予最高優(yōu)先級(jí)的活動(dòng)、產(chǎn)品和服務(wù)上。隨著時(shí)間的推移，測(cè)量活動(dòng)的最初范圍可以擴(kuò)大來(lái)包括信息安全管理體系的更多元素。測(cè)量的利益相關(guān)方應(yīng)該被識(shí)別并參與定義測(cè)量范圍。測(cè)量的利益相關(guān)方可能是組織單位內(nèi)部或外部的，例如項(xiàng)目經(jīng)理、信息系統(tǒng)經(jīng)理或信息安全決策者。關(guān)于每個(gè)控制措施有效性的具體信息被收集、聚合、分析，并向利益相關(guān)方進(jìn)行展示。組織應(yīng)考慮在一段給定時(shí)間段內(nèi)，對(duì)供一個(gè)決策者使用的測(cè)量數(shù)量進(jìn)行限制，以保證基于所收集信息進(jìn)行有效改變的能力。過(guò)多的測(cè)量可能會(huì)削弱有效集中力量和未來(lái)活動(dòng)優(yōu)先排序的能力。將被使用測(cè)量的優(yōu)先順序應(yīng)基于特定組織的準(zhǔn)則，并包括基于風(fēng)險(xiǎn)的考慮。7.3信息需要識(shí)別每個(gè)測(cè)量應(yīng)對(duì)應(yīng)于一個(gè)信息需要。信息需要是對(duì)于哪些需要被測(cè)量的表述，關(guān)于ISMS過(guò)程、控制目標(biāo)、控制措施，以及這些過(guò)程、控制目標(biāo)、控制措施的實(shí)施。應(yīng)該通過(guò)執(zhí)行下列活動(dòng)來(lái)識(shí)別信息需要：檢查信息安全管理體系及其過(guò)程，例如：組織的信息安全管理體系策略、目標(biāo)、風(fēng)險(xiǎn)和安全要求；法律、法規(guī)和合同的要求；ISO/IEC27001標(biāo)準(zhǔn)中所描述的風(fēng)險(xiǎn)評(píng)估和處置過(guò)程的結(jié)果；信息安全管理體系的有效性要求；基于準(zhǔn)則對(duì)所識(shí)別的信息需要，排列優(yōu)先次序，例如：風(fēng)險(xiǎn)處置優(yōu)先次序；組織的能力和資源；利害相關(guān)方的利益；信息安全策略；為滿足法律、法規(guī)和合同要求所需要的信息；與測(cè)量成本相關(guān)的信息的價(jià)值；根據(jù)已建立的準(zhǔn)則，選擇經(jīng)過(guò)優(yōu)先排序的信息需要；以及向所有相關(guān)的利害相關(guān)方，記錄和溝通已選擇的信息需要。所有適用于信息安全管理體系過(guò)程、控制目標(biāo)和控制措施或成組的控制措施的測(cè)度，應(yīng)該基于已選擇的信息需要來(lái)實(shí)施。7.4對(duì)象識(shí)別信息安全測(cè)量能在整個(gè)背景和信息安全管理體系范圍內(nèi)，被用在不同的業(yè)務(wù)對(duì)象上。識(shí)別用于測(cè)量的對(duì)象包括：考慮已建立的測(cè)量目標(biāo)；以及明確這些對(duì)象的關(guān)鍵屬性，這些屬性可能會(huì)提供關(guān)于控制措施和控制目標(biāo)有效性及其實(shí)施的相關(guān)信息。描述測(cè)量對(duì)象和相應(yīng)屬性的數(shù)據(jù)將被用來(lái)作為單個(gè)基本測(cè)度的輸入。測(cè)量對(duì)象包括但不限于：產(chǎn)品和服務(wù)；過(guò)程；適用的資產(chǎn)，如ISO/IEC27001中所識(shí)別的各種設(shè)施、應(yīng)用程序，以及信息系統(tǒng)；業(yè)務(wù)單元；地理位置。測(cè)量對(duì)象應(yīng)該要仔細(xì)地選擇，以確保測(cè)量的結(jié)果是有意義的。所選擇的對(duì)象應(yīng)該和選擇的理由一起被記錄。7.5測(cè)量開發(fā)和選擇組織應(yīng)該使用已有的各種資源，來(lái)識(shí)別和剪裁信息安全測(cè)度。每個(gè)測(cè)量應(yīng)該被詳細(xì)地開發(fā)，適合每個(gè)組織的需求，并應(yīng)至少包括：測(cè)度識(shí)別；測(cè)量對(duì)象和屬性；基本測(cè)度；導(dǎo)出測(cè)度；指標(biāo)；數(shù)據(jù)收集規(guī)程；以及數(shù)據(jù)分析規(guī)程。信息安全測(cè)量的詳細(xì)模板范例在附錄A中提供。ISO/IEC27001控制措施子集的測(cè)量范例參見(jiàn)附錄B。7.5.1測(cè)量方法對(duì)每個(gè)基本測(cè)度應(yīng)識(shí)別其測(cè)量方法。通過(guò)將屬性轉(zhuǎn)換為基本測(cè)度，測(cè)量方法被用來(lái)量化測(cè)量對(duì)象。測(cè)量方法可能是主觀的或客觀的。主觀方法含有對(duì)人的判斷的量化，而客觀方法是基于數(shù)字規(guī)則的量化，如可能通過(guò)手工或自動(dòng)化手段實(shí)施的計(jì)算。通過(guò)應(yīng)用適當(dāng)?shù)臉?biāo)度，測(cè)量方法將屬性量化成數(shù)值。每個(gè)標(biāo)度使用一個(gè)測(cè)量單位。只有以同種測(cè)量單位表達(dá)的量才能直接進(jìn)行比較。不管是手工（例如，問(wèn)詢、觀察、自評(píng)估）還是自動(dòng)化測(cè)量方法都需要獨(dú)立的驗(yàn)證，以建立每個(gè)屬性值的置信度。對(duì)每個(gè)測(cè)量方法，驗(yàn)證準(zhǔn)則應(yīng)被定義和記錄。應(yīng)考慮測(cè)量方法的精度，相關(guān)的錯(cuò)誤應(yīng)記錄。測(cè)量方法應(yīng)在一段時(shí)間保持一致，這樣在不同時(shí)間采取的基本測(cè)度是可比較的，并且基于這些基本測(cè)度的導(dǎo)出測(cè)度和指標(biāo)也同樣是可比較的。7.5.2測(cè)量函數(shù)對(duì)每個(gè)導(dǎo)出測(cè)度，應(yīng)該定義一個(gè)使用兩個(gè)或兩個(gè)以上基本測(cè)度的測(cè)量函數(shù)。在某些情況下，基本測(cè)度能與導(dǎo)出測(cè)度一起作為分析模型的輸入。測(cè)量函數(shù)（如，公式）可能會(huì)包括多種不同的技術(shù)，如對(duì)所有基本測(cè)度取平均值，對(duì)基本測(cè)度應(yīng)用權(quán)重，或是在將基本測(cè)度聚合成導(dǎo)出測(cè)度前，將它們賦予定性值。測(cè)量函數(shù)可能會(huì)使用不同標(biāo)度來(lái)組合各基本測(cè)度，如百分比和定性評(píng)估結(jié)果。應(yīng)該定義一個(gè)計(jì)算每個(gè)測(cè)度的公式并記錄。應(yīng)考慮由于基本測(cè)度的組合而導(dǎo)致的累積性錯(cuò)誤。7.5.3利益相關(guān)方對(duì)于每個(gè)測(cè)量，適當(dāng)?shù)睦嫦嚓P(guān)方都應(yīng)被識(shí)別和記錄。利益相關(guān)方可能包括：所有者——人員或組織單位，它們擁有被用來(lái)創(chuàng)建基本測(cè)度的測(cè)量對(duì)象和屬性的相關(guān)信息，并負(fù)責(zé)測(cè)量；顧客——人員或組織單位，為了開展他們的業(yè)務(wù)功能而申請(qǐng)和需要測(cè)量；收集者——人員或組織單位，負(fù)責(zé)收集、記錄和存儲(chǔ)數(shù)據(jù)；溝通者——人員或組織單位，負(fù)責(zé)分析數(shù)據(jù)和報(bào)告結(jié)果；以及評(píng)審者——人員或組織單位，負(fù)責(zé)對(duì)測(cè)量評(píng)價(jià)準(zhǔn)則是否適當(dāng)作評(píng)審，以驗(yàn)證控制措施和信息安全管理體系過(guò)程的有效性。7.5.4屬性選擇和評(píng)審一個(gè)測(cè)量對(duì)象可能有多個(gè)信息安全屬性。一個(gè)基本測(cè)度可能會(huì)選擇使用一個(gè)或多個(gè)屬性。應(yīng)該對(duì)屬性進(jìn)行證實(shí)，以確保：合適的屬性被選擇用來(lái)測(cè)量；以及適當(dāng)數(shù)量的屬性已經(jīng)被選擇，以保證提供一個(gè)充分的集合來(lái)支持一個(gè)有效的測(cè)量。所選擇屬性的特征決定著何種測(cè)量方法將被使用來(lái)確定基本測(cè)度（例如，定量或定性的）。應(yīng)僅有那些與相應(yīng)基本測(cè)度有關(guān)的屬性被選擇。盡管屬性選擇應(yīng)考慮獲取測(cè)量屬性的困難程度，它不應(yīng)該只從那些易于獲取的數(shù)據(jù)，或是易于測(cè)量的屬性中選擇。7.5.5分析模型對(duì)每個(gè)測(cè)度來(lái)說(shuō)，應(yīng)該定義一個(gè)分析模型，目的是將一個(gè)或多個(gè)導(dǎo)出測(cè)度轉(zhuǎn)換為一個(gè)指標(biāo)。分析模型以某種方式組合各測(cè)度并產(chǎn)生輸出，這個(gè)輸出與信息安全管理體系策略有關(guān)，并對(duì)信息安全管理體系利益相關(guān)方有意義。注意，當(dāng)定義分析模型時(shí)，應(yīng)用在指標(biāo)上的決策準(zhǔn)則也應(yīng)該被考慮。有時(shí)分析模型可以簡(jiǎn)單到只是將單個(gè)導(dǎo)出測(cè)度轉(zhuǎn)換為一個(gè)指標(biāo)。7.5.6指標(biāo)和報(bào)告格式通過(guò)聚合各導(dǎo)出測(cè)度并基于決策準(zhǔn)則對(duì)它們進(jìn)行解釋，將產(chǎn)生指標(biāo)。對(duì)將向顧客報(bào)告的每個(gè)指標(biāo)，應(yīng)該定義并記錄一個(gè)報(bào)告格式。報(bào)告格式將可視地描述測(cè)度并提供一個(gè)指標(biāo)的言語(yǔ)解釋。報(bào)告格式應(yīng)該被定制，以滿足顧客的信息需要。7.5.7決策準(zhǔn)則每個(gè)指標(biāo)對(duì)應(yīng)的決策準(zhǔn)則，應(yīng)該基于信息安全目標(biāo)來(lái)定義和記錄，從而為客戶提供可行動(dòng)的指南。該指南應(yīng)給出對(duì)測(cè)量進(jìn)展的期望以及基于指標(biāo)的啟動(dòng)改進(jìn)措施的閾值。決策準(zhǔn)則建立了一個(gè)目的，由此成功可以被測(cè)量，決策準(zhǔn)則也為解釋指標(biāo)與目的的接近程度提供了指導(dǎo)。建立決策準(zhǔn)則和目的的機(jī)制與從測(cè)度得到的指標(biāo)是有區(qū)別的。需要對(duì)與信息安全管理體系過(guò)程和控制措施性能相關(guān)的各項(xiàng)目設(shè)立目的，以及目標(biāo)的達(dá)成情況，并最終對(duì)評(píng)價(jià)信息安全管理體系和控制措施的有效性。組織可能會(huì)決定等到初始數(shù)據(jù)收集到后，再為指標(biāo)設(shè)置目的。一旦基于初始數(shù)據(jù)的糾正措施被識(shí)別，就能定義適當(dāng)?shù)臎Q策準(zhǔn)則和實(shí)施里程碑，它們對(duì)特定的信息安全管理體系是現(xiàn)實(shí)的。如果不能建立決策準(zhǔn)則，管理層應(yīng)評(píng)價(jià)被測(cè)量的對(duì)象和相應(yīng)的測(cè)度是否為組織提供了所期望的價(jià)值。如果與這些測(cè)度開發(fā)或選擇相關(guān)的歷史數(shù)據(jù)存在，將有助于決策準(zhǔn)則的建立。過(guò)去所觀察到的趨勢(shì)將提供對(duì)以前存在的性能范圍的見(jiàn)解，并為創(chuàng)建現(xiàn)實(shí)的決策準(zhǔn)則提供指導(dǎo)。決策準(zhǔn)則可以被計(jì)算或基于一個(gè)對(duì)期望行為的概念性理解。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和啟發(fā)式方法導(dǎo)出，或者從統(tǒng)計(jì)控制界限或統(tǒng)計(jì)置信界限計(jì)算得到。7.6測(cè)度證實(shí)管理層應(yīng)對(duì)所開發(fā)的測(cè)度進(jìn)行證實(shí)，以保證所開發(fā)測(cè)度是有用并有成本效益的。下面這些準(zhǔn)則可能與決定測(cè)度是否有用并有成本效益相關(guān)：戰(zhàn)略的：與組織的業(yè)務(wù)目標(biāo)和利益相關(guān)方的需求一致；定量的：提供客觀和經(jīng)驗(yàn)數(shù)據(jù)；解釋性的：能容納主觀輸入來(lái)幫助對(duì)數(shù)據(jù)的解釋；具有成本效益：數(shù)據(jù)收集的成本應(yīng)與被測(cè)量?jī)r(jià)值相關(guān)的潛在損失相平衡；可驗(yàn)證：第三方評(píng)審者應(yīng)能評(píng)估數(shù)據(jù)，并能重現(xiàn)結(jié)果；有意義：數(shù)據(jù)應(yīng)提供與一段時(shí)間內(nèi)所應(yīng)用控制措施和控制目標(biāo)相關(guān)的有意義信息，使得能夠?qū)ψ兏绊懟蚪Y(jié)果一致性進(jìn)行評(píng)估；實(shí)用：結(jié)果應(yīng)支持使命、財(cái)務(wù)和運(yùn)行的決策；不可分：數(shù)據(jù)應(yīng)該在可能的最細(xì)、不可分解的級(jí)別下被收集；良好定義：在7.5中所描述的詳細(xì)模板中記錄；以及可重復(fù)：測(cè)量應(yīng)產(chǎn)生可比較和可再生的結(jié)果。7.7數(shù)據(jù)收集、分析和報(bào)告應(yīng)該建立或剪裁測(cè)量數(shù)據(jù)收集、分析和報(bào)告的過(guò)程，如果存在這樣的過(guò)程。如果需要，還應(yīng)該建立提供支持的工具和技術(shù)。這些過(guò)程、工具和技術(shù)可以滿足以下測(cè)量相關(guān)的活動(dòng)：數(shù)據(jù)收集，包括存儲(chǔ)和驗(yàn)證。規(guī)程應(yīng)詳細(xì)說(shuō)明數(shù)據(jù)是如何被收集和區(qū)分的，以及這些數(shù)據(jù)將怎樣和在哪里被存儲(chǔ)。數(shù)據(jù)驗(yàn)證可能會(huì)通過(guò)審計(jì)來(lái)完成。自動(dòng)化工具能被用來(lái)支持這些規(guī)程；數(shù)據(jù)分析，以及測(cè)量的報(bào)告。規(guī)程應(yīng)詳細(xì)說(shuō)明數(shù)據(jù)收集方法、頻率、格式，以及報(bào)告信息產(chǎn)品的方法。應(yīng)該識(shí)別哪些工具可以被用來(lái)執(zhí)行數(shù)據(jù)分析。報(bào)告格式的范例包括：通過(guò)整合高級(jí)別指標(biāo)提供戰(zhàn)略信息的記分卡；執(zhí)行和運(yùn)行的儀表板，不是集中在戰(zhàn)略目標(biāo)，而更關(guān)注特定控制措施和過(guò)程的有效性。儀表板可能會(huì)使用一系列的顏色來(lái)溝通結(jié)果——例如，從黑色（0％）到淺綠色（100％），但是請(qǐng)注意5.3.3中表3有關(guān)使用顏色的說(shuō)明；報(bào)告，從簡(jiǎn)單和統(tǒng)計(jì)性的，比如一個(gè)給定時(shí)間段的測(cè)度列表，到更為復(fù)雜的交叉表，這種交叉表包括內(nèi)嵌組、滾動(dòng)總結(jié)、動(dòng)態(tài)透視或鏈接。報(bào)告最好被用在用戶需要以一種易讀的格式看原始數(shù)據(jù)時(shí)；以及量表來(lái)表示動(dòng)態(tài)的數(shù)據(jù)值包括警報(bào)、附加的圖形元素，以及端點(diǎn)的標(biāo)記。7.8記錄測(cè)量的完整方法應(yīng)被記錄在一個(gè)實(shí)施計(jì)劃中。實(shí)施計(jì)劃應(yīng)至少包括以下信息：測(cè)量的意圖；將被測(cè)量的控制措施和控制目標(biāo)；測(cè)量對(duì)象；將被收集和使用的測(cè)度；數(shù)據(jù)收集過(guò)程；數(shù)據(jù)分析和報(bào)告過(guò)程，包括報(bào)告格式；利益相關(guān)方的角色和責(zé)任；以及測(cè)度評(píng)審的周期，以確保測(cè)量與信息安全管理體系和業(yè)務(wù)目標(biāo)保持同步。8.測(cè)量運(yùn)行8.1概述信息安全測(cè)量的運(yùn)行包括收集、存儲(chǔ)和驗(yàn)證被用來(lái)創(chuàng)建信息安全測(cè)度的數(shù)據(jù)。它也包括一些必要的活動(dòng)，這些活動(dòng)保證所收集的測(cè)量被用來(lái)獲得對(duì)信息安全管理體系有效性的理解，以及識(shí)別適當(dāng)?shù)母倪M(jìn)措施。本階段包括以下活動(dòng)：將測(cè)量規(guī)程整合進(jìn)整個(gè)信息安全管理體系的運(yùn)行；以及收集、存儲(chǔ)和驗(yàn)證數(shù)據(jù)。8.2規(guī)程整合信息安全測(cè)量項(xiàng)目應(yīng)被信息安全管理體系充分地整合和使用，包括：在信息安全管理體系背景下，定義和記錄關(guān)于開發(fā)、實(shí)施和維護(hù)信息安全測(cè)量的角色和職責(zé)；數(shù)據(jù)生成與收集，包括變更現(xiàn)有過(guò)程以容納數(shù)據(jù)生成與收集活動(dòng)；向利益相關(guān)方溝通數(shù)據(jù)收集活動(dòng)的改變，以保證數(shù)據(jù)收集人的能力，包括他們對(duì)所要求數(shù)據(jù)類型、數(shù)據(jù)收集工具、數(shù)據(jù)收集規(guī)程的理解。增強(qiáng)信息收集人的能力將有助于提高數(shù)據(jù)收集質(zhì)量，以及測(cè)量對(duì)組織的用處；數(shù)據(jù)分析和報(bào)告應(yīng)被整合進(jìn)相關(guān)過(guò)程，以保證這些過(guò)程的常規(guī)性能；策略和規(guī)程，它們定義了組織內(nèi)測(cè)量的使用，測(cè)量信息的發(fā)布，以及信息安全測(cè)量項(xiàng)目的審計(jì)和評(píng)審；一個(gè)監(jiān)控測(cè)量的過(guò)程，以評(píng)價(jià)測(cè)量的使用情況；一個(gè)去除測(cè)量和增加新測(cè)量的過(guò)程，以確保測(cè)量隨組織不斷演進(jìn)；以及一個(gè)確定用于趨勢(shì)分析的歷史數(shù)據(jù)有用期的過(guò)程。8.3數(shù)據(jù)收集和處理數(shù)據(jù)收集過(guò)程包括：所需要的數(shù)據(jù)應(yīng)根據(jù)實(shí)施計(jì)劃中定義的過(guò)程，使用指定的測(cè)量方法按照常規(guī)間隔來(lái)收集；記錄數(shù)據(jù)收集，包括：數(shù)據(jù)收集的日期、時(shí)間、地點(diǎn)；信息收集者；信息所有者；數(shù)據(jù)收據(jù)過(guò)程中發(fā)生的任何問(wèn)題；以及數(shù)據(jù)驗(yàn)證和測(cè)量證實(shí)的信息；以及根據(jù)屬性證實(shí)準(zhǔn)則，驗(yàn)證所收集的數(shù)據(jù)應(yīng)對(duì)所收集數(shù)據(jù)進(jìn)行整理，并以有助于數(shù)據(jù)分析和報(bào)告的格式來(lái)存儲(chǔ)。所存儲(chǔ)的數(shù)據(jù)應(yīng)帶有必要的背景信息。9.測(cè)量分析和報(bào)告9.1概述測(cè)量應(yīng)該被分析和報(bào)告。這個(gè)階段包括以下活動(dòng)：分析數(shù)據(jù)和產(chǎn)生測(cè)量結(jié)果；以及向利益相關(guān)方溝通測(cè)量結(jié)果。9.2分析數(shù)據(jù)和產(chǎn)生測(cè)量結(jié)果收集的數(shù)據(jù)應(yīng)該基于決策準(zhǔn)則被分析和解釋。數(shù)據(jù)在分析之前可以被聚合、轉(zhuǎn)換或再次編碼，在數(shù)據(jù)處理期間將產(chǎn)生計(jì)劃中的指標(biāo)。很多種分析技術(shù)能被應(yīng)用。分析的深度應(yīng)該根據(jù)數(shù)據(jù)的自身特性和信息需要來(lái)確定。執(zhí)行統(tǒng)計(jì)分析的指南參見(jiàn)ISOTR10017:2003。數(shù)據(jù)分析的結(jié)果應(yīng)該被解釋。分析結(jié)果的人（溝通者）應(yīng)該能基于結(jié)果給出一些初始結(jié)論。但是溝通者可能不會(huì)直接涉及技術(shù)和管理過(guò)程，這些結(jié)論需要由其他利益相關(guān)方進(jìn)行評(píng)審。所有的解釋都應(yīng)該考慮測(cè)度的背景。數(shù)據(jù)分析應(yīng)識(shí)別實(shí)際性能和期望性能間的差距。這種分析將指出可能需要改進(jìn)的相關(guān)測(cè)量對(duì)象、控制目標(biāo)及控制措施，以改進(jìn)信息安全性能。對(duì)那些顯示出不符合或性能差的指標(biāo)，應(yīng)該識(shí)別其原因，可能包括以下幾類：實(shí)施失敗造成的不符合——被期望實(shí)施的控制措施或信息安全管理體系過(guò)程，或者沒(méi)有被實(shí)施，或者在實(shí)施、運(yùn)行和管理上不充分；無(wú)效控制措施或信息安全管理體系過(guò)程控制措施或信息安全管理體系過(guò)程已被正常實(shí)施、運(yùn)行和管理，但不能應(yīng)對(duì)所預(yù)計(jì)的威脅；控制措施或信息安全管理體系過(guò)程已被實(shí)施，但沒(méi)有被正常運(yùn)行和管理。風(fēng)險(xiǎn)處置失?。嚎刂拼胧┗蛐畔踩芾眢w系過(guò)程已被正常實(shí)施、運(yùn)行和管理，但可以被威脅繞過(guò)；以及風(fēng)險(xiǎn)評(píng)估失?。嚎刂拼胧┗蛐畔踩芾眢w系過(guò)程已被正常實(shí)施、運(yùn)行和管理，但不能應(yīng)對(duì)實(shí)際威脅，因?yàn)橥{范圍太大；控制措施或信息安全管理體系過(guò)程未被實(shí)施，因?yàn)轱L(fēng)險(xiǎn)評(píng)估過(guò)程中忽視了一些威脅；以及控制措施或信息安全管理體系過(guò)程已被實(shí)施但無(wú)效，因?yàn)轱L(fēng)險(xiǎn)評(píng)估過(guò)程中忽視了一些威脅。數(shù)據(jù)分析結(jié)果、指標(biāo)、與決策準(zhǔn)則相關(guān)的解釋，以及相關(guān)的支持信息構(gòu)成了測(cè)量結(jié)果。總結(jié)測(cè)量結(jié)果的報(bào)告，應(yīng)根據(jù)實(shí)施計(jì)劃，使用適當(dāng)?shù)膱?bào)告格式（見(jiàn)7.7）來(lái)準(zhǔn)備。分析的結(jié)論應(yīng)被利益相關(guān)方評(píng)審，以保證對(duì)數(shù)據(jù)的適當(dāng)解釋。數(shù)據(jù)分析的結(jié)果應(yīng)被記錄，以便向各利益相關(guān)方進(jìn)行溝通。9.3溝通結(jié)果負(fù)責(zé)分析數(shù)據(jù)和報(bào)告結(jié)果的人員或組織單位（溝通者）應(yīng)該決定如何溝通信息安全測(cè)量結(jié)果，包括：哪些測(cè)度在內(nèi)部和外部報(bào)告；針對(duì)各利益相關(guān)方和興趣相關(guān)方的測(cè)度列表；報(bào)告結(jié)構(gòu)，被提供的特定測(cè)度，以及展示類型都應(yīng)被剪裁以適合各個(gè)組的需求；以及各利益相關(guān)方之間交換反饋意見(jiàn)的方式，用來(lái)評(píng)價(jià)信息產(chǎn)品和測(cè)量過(guò)程；測(cè)量結(jié)果應(yīng)該與一系列的內(nèi)部利益相關(guān)方溝通，包括但不限于：負(fù)責(zé)風(fēng)險(xiǎn)管理過(guò)程的人員，特別是在發(fā)現(xiàn)風(fēng)險(xiǎn)評(píng)估或風(fēng)險(xiǎn)處置失敗之處；管理層，為了識(shí)別有待改進(jìn)之處；提供任何反饋的信息擁有者。測(cè)量可能需要發(fā)布給外部利益相關(guān)方，包括上級(jí)單位、股東、顧客和供應(yīng)商。外部報(bào)告不應(yīng)像內(nèi)部報(bào)告那樣詳細(xì)，應(yīng)僅包含適合外部使用的數(shù)據(jù)。外部報(bào)告在發(fā)布之前，應(yīng)由組織內(nèi)的管理層和其他適當(dāng)方進(jìn)行評(píng)審。10.測(cè)量項(xiàng)目評(píng)價(jià)和改進(jìn)10.1概述測(cè)量項(xiàng)目應(yīng)該被評(píng)價(jià)和改進(jìn)，以確保測(cè)量項(xiàng)目：以一種有用和有效的方式，持續(xù)滿足組織對(duì)信息安全測(cè)量的要求；是否按計(jì)劃執(zhí)行；符合對(duì)威脅和脆弱性的變更；以及符合對(duì)環(huán)境的變更（例如：需求、法律和技術(shù)）。證實(shí)的結(jié)果應(yīng)能提供清晰的指示，關(guān)于對(duì)當(dāng)前信息安全測(cè)量項(xiàng)目滿足組織要求的程度，以及是否需要對(duì)測(cè)量項(xiàng)目作改進(jìn)。結(jié)果的實(shí)用性和獲取它們的成本應(yīng)依據(jù)測(cè)量項(xiàng)目的目標(biāo)進(jìn)行評(píng)價(jià)。評(píng)價(jià)的結(jié)果應(yīng)該有助于決定是否當(dāng)前信息安全測(cè)量項(xiàng)目滿足組織要求的程度，或者是否需要作改進(jìn)。組織應(yīng)明確評(píng)價(jià)的頻率，計(jì)劃周期性修訂的時(shí)間段，并建立做這些可能修訂的機(jī)制。下面的步驟應(yīng)被遵循：識(shí)別測(cè)量項(xiàng)目的評(píng)價(jià)準(zhǔn)則（見(jiàn)10.2）；監(jiān)控、評(píng)審和評(píng)價(jià)測(cè)量（見(jiàn)10.3）；以及實(shí)施改進(jìn)（見(jiàn)10.4）。10.2識(shí)別測(cè)量項(xiàng)目的評(píng)價(jià)準(zhǔn)則在初步實(shí)施后，組織評(píng)價(jià)測(cè)量結(jié)果的實(shí)用性和有效性，以及獲取測(cè)量結(jié)果所需要的投入。測(cè)量結(jié)果能被評(píng)價(jià)前就應(yīng)該建立評(píng)價(jià)準(zhǔn)則。評(píng)價(jià)的目的是評(píng)估修改或改進(jìn)測(cè)量項(xiàng)目的必要性。除了內(nèi)部信息安全管理體系審計(jì)外，還可以進(jìn)行外部審計(jì)來(lái)提供獨(dú)立的第三方評(píng)估。組織應(yīng)為審計(jì)確定適當(dāng)?shù)臅r(shí)間，以保證它們不會(huì)嚴(yán)重地干擾運(yùn)行。當(dāng)有如下最有可能的條件出現(xiàn)時(shí)，組織應(yīng)該再次評(píng)價(jià)并改進(jìn)當(dāng)前的信息安全測(cè)量項(xiàng)目：業(yè)務(wù)目標(biāo)和要求的變更；威脅環(huán)境的變更；風(fēng)險(xiǎn)的變更；用于測(cè)量的更完善或合適數(shù)據(jù)的增多；在組織的背景下，被用來(lái)測(cè)量的測(cè)量對(duì)象和屬性的變更；以及法律、法規(guī)和其它外部要求的變更。以下準(zhǔn)則可以用來(lái)評(píng)價(jià)測(cè)量結(jié)果：測(cè)量結(jié)果對(duì)于改進(jìn)信息安全是有用的；測(cè)量結(jié)果符合信息需要。如果收集的測(cè)量結(jié)果在整體上對(duì)于改進(jìn)組織的信息安全是有用的，那么測(cè)量項(xiàng)目是有效的。10.3監(jiān)控、評(píng)審與評(píng)價(jià)測(cè)量項(xiàng)目在依據(jù)10.2的準(zhǔn)則初步實(shí)施后，以及在基礎(chǔ)系統(tǒng)或相應(yīng)業(yè)務(wù)目標(biāo)發(fā)生重大變更時(shí)，包括所有的測(cè)度、指標(biāo)、決策準(zhǔn)則和測(cè)量結(jié)果在內(nèi)的測(cè)量項(xiàng)目，應(yīng)該被監(jiān)控、評(píng)審和評(píng)價(jià)。潛在的改進(jìn)可以被識(shí)別，包括：按照已建立的準(zhǔn)則修正測(cè)度；去除或替換不再適合的測(cè)度、指標(biāo)和決策準(zhǔn)則；確保分配充足的資源來(lái)支持測(cè)量項(xiàng)目；識(shí)別測(cè)量項(xiàng)目所需的改進(jìn)，并計(jì)劃實(shí)施；記錄管理層的決策，以允許以后各測(cè)量的比較和趨勢(shì)分析。監(jiān)控、評(píng)審和評(píng)價(jià)測(cè)量項(xiàng)目的結(jié)果應(yīng)該向管理層溝通，以便對(duì)必要的改進(jìn)和測(cè)度今后的使用做出決策。管理層的決策和測(cè)量項(xiàng)目改進(jìn)的結(jié)果應(yīng)該向合適的利益相關(guān)者溝通。利益相關(guān)者應(yīng)該根據(jù)測(cè)度對(duì)其的有用性給出反饋，這種反饋將為信息安全測(cè)量項(xiàng)目的評(píng)價(jià)提供輸入。10.4實(shí)施改進(jìn)已識(shí)別的改進(jìn)應(yīng)被管理層正式記錄和批準(zhǔn)。管理層應(yīng)保證按計(jì)劃實(shí)施改進(jìn)。組織可以使用項(xiàng)目管理技術(shù)來(lái)完成改進(jìn)。附錄A（資料性附錄）

信息安全測(cè)量模板附