ISOIEC27004-2009信息安全测量中文版讲解.doc

  1. 1、本文档共31页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ISOIEC27004-2009信息安全测量中文版讲解

信息技术—安全技术—信息安全管理—测量 27004 N6614 (FCD) 标准草案 目录 0 介绍 4 0.1 概述 4 0.2 管理层概述 4 1 范围 5 2 规范性引用 5 3 术语和定义 5 4 本标准的结构 9 5 信息安全测量概述 9 5.1 信息安全目标 9 5.2 信息安全测量项目 10 5.3 信息安全测量模型 12 5.3.1 基本测度和测量方法 13 5.3.2 导出测度和测量函数 13 5.3.3 指标和分析模型 14 5.3.4 测量结果和决策准则 15 6. 管理职责 15 6.1 概述 15 6.2 资源管理 16 6.3 测量培训,意识和能力 16 7. 测度和测量开发 16 7.1 概述 16 7.2 测量范围识别 16 7.3 信息需要识别 17 7.4 对象识别 18 7.5 测量开发和选择 18 7.5.1 测量方法 18 7.5.2 测量函数 19 7.5.3 利益相关方 19 7.5.4 属性选择和评审 19 7.5.5 分析模型 20 7.5.6 指标和报告格式 20 7.5.7 决策准则 20 7.6 测度证实 21 7.7 数据收集、分析和报告 21 7.8 记录 22 8. 测量运行 22 8.1 概述 22 8.2 规程整合 22 8.3 数据收集和处理 23 9. 测量分析和报告 23 9.1 概述 23 9.2 分析数据和产生测量结果 23 9.3 沟通结果 24 10. 测量项目评价和改进 25 10.1 概述 25 10.2 识别测量项目的评价准则 25 10.3 监控、评审与评价测量项目 26 10.4 实施改进 26 附录A(资料性附录) 信息安全测量模板 27 附录B(资料性附录) 测度范例 29 参考文献 31 0 介绍 0.1 概述 本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系(ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安全控制措施。 通过使用信息安全测度,组织能识别现有信息安全管理体系的充分性,包括策略、风险管理、控制目标、控制措施、过程和规程,并支持组织进行过程的修订,决定哪些ISMS过程或控制措施应该变更和改进。 对该方法的实施组成了一个信息安全测量项目。信息安全测量项目将帮助管理层识别和评价不符合和无效的控制措施,以及排列与这些控制措施改进或变更相关行动的优先次序。测量项目也能帮助组织展示与ISO/IEC 27001标准的符合程度,并能产生管理评审过程的输入。 对信息安全测量项目的实施,应该优先保证向利益相关方提供了关于各种最严重(或是最高优先级别)风险及其处置/控制措施状态的可靠信息。本国际标准假定开发测量的起点是对组织和利益相关方所面临信息安全风险的充分理解,并且风险评估过程已经按照ISO/IEC 27001要求得到了正确地实施。 一个有效的信息安全测量项目应改进利益相关方对可提供状态信息的各种测量的信心,并使利益相关方能使用这些测量有效持续改进信息安全和信息安全管理体系。 本国际标准的使用能够支持对一段时间内信息安全目标达成情况的比较,以作为组织信息安全管理体系持续改进过程的一部分。 本指南包括: 开发测度; 实施和运行一个信息安全测量项目; 向利益相关方收集、分析和沟通测度; 使用所收集的测度来帮助信息安全管理体系的相关决策; 使用所收集的测度来有效改进信息安全管理体系的控制目标和控制措施; 促进信息安全测量项目的持续改进。 本国际标准提供了模板,可能对测量的管理有所帮助。 0.2 管理层概述 ISO/IEC 27001 要求管理层“定义怎样测量所选择的一个或一组控制措施的有效性,并指明这些测度是怎样被用来评估控制措施有效性,以产生可比较和可再现的结果。” 公认地,根据多种因素,包括风险暴露、规模、资源可用性、能力、行为和部门需求的不同,被组织采用来测量控制措施有效性的方法也有所不同。仔细地选择和证明所使用的方法是很重要的,这可以保证过多的资源不被投入到信息安全管理体系中某个方面,从而损害到其它必要的领域。明智地,应该将控制措施有效性测量纳入到组织的日常运作中,包括最小的附加资源需求,以满足对测量的持续需求。 对所有组织来说,基本规程的要求已概括在0.1(指南列表)中。然而,某个因素(如系统规模)可能影响组织测量控制措施有效性。一般而言,业务的规模和复杂度,及其与信息安全重要性的组合,将影响所需测量的扩展程度,无论是测度数量还是测量频度。中小企业可以实施基本理解意义上的信息安全测量项目,而大企业则可能多个信息安全测量项目

文档评论(0)

此项为空 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档