GB-T 31497-2015 信息技术 安全技术 信息安全管理 测量.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9信息技术 安全技术信息安全管理 测量I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sI n f o r m a t i o ns e c u r i t ym a n a g e m e n tM e a s u r e m e n t(I S O/I E C2 7 0 0 4:2 0 0 9,I D T)2 0 1

2、5-0 5-1 5发布2 0 1 6-0 1-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 本标准的结构35 信息安全测量概述36 管理职责1 07 测度和测量的制定1 18 测量运行1 69 数据分析和测量结果报告1 61 0 信息安全测量方案的评价和改进1 8附录A(资料性附录)信息安全测量构造模板2 0附录B(资料性附录)测量构造示例2 2参考文献5 2G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9前 言 本标准按照G

3、 B/T1.12 0 0 9给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准使用翻译法等同采用I S O/I E C2 7 0 0 4:2 0 0 9 信息技术 安全技术 信息安全管理 测量(英文版)。本标准做了以下编辑性修改:引言部分增加了有关信息安全管理体系标准族情况的介绍。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:中国电子技术标准化研究院、山东省计算中心、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、北京信息安全测评中心。本标准主要起草人:上官晓丽、周鸣乐、李刚、许玉娜

4、、顾卫东、闵京华、赵章界、董火民、李旺、史艳华、李敏、张建成、韩庆良。G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9引 言 0.1 总则信息安全管理体系标准族(I n f o r m a t i o nS e c u r i t yM a n a g e m e n tS y s t e m,简称I S M S标准族)是国际信息安全技术标准化组织(I S O/I E CJ T C 1S C 2 7)制定的信息安全管理体系系列国际标准。I S M S标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如

5、,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的I S M S的独立评估做准备。I S M S标准族包括的标准:a)定义了I S M S的要求及其认证机构的要求;b)提供了对整个“规划-实施-检查-处置”(P D C A)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的I S M S指南;d)阐述了I S M S的一致性评估。目前,I S M S标准族由下列标准组成:G B/T2 9 2 4 62 0 1 2 信息技术 安全技术 信息安全管理体系 概述和词汇(I S O/I E C2 7 0 0 0:2 0 0 9)G B/T2 2 0 8 02 0 0 8

6、 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 0 5)G B/T2 2 0 8 12 0 0 8 信息技术 安全技术 信息安全管理实用规则(I S O/I E C2 7 0 0 2:2 0 0 5)G B/T3 1 4 9 62 0 1 5 信息技术 安全技术 信息安全管理体系实施指南(I S O/I E C2 7 0 0 3:2 0 1 0)(本标准)信息技术 安全技术 信息安全管理 测量(I S O/I E C2 7 0 0 4:2 0 0 9)G B/T3 1 7 2 22 0 1 5 信息技术 安全技术 信息安全风险管理(I S O/I

7、 E C2 7 0 0 5:2 0 0 8)G B/T2 5 0 6 72 0 1 0 信息技术 安全技术 信息安全管理体系审核认证机构的要求(I S O/I E C2 7 0 0 6:2 0 0 7)I S O/I E C2 7 0 0 7:2 0 1 1 信息技术 安全技术 信息安全管理体系审核指南 I S O/I E CT R2 7 0 0 8:2 0 1 1 信息技术 安全技术 信息安全控制措施审核员指南 I S O/I E C2 7 0 1 0:2 0 1 2 信息技术 安全技术 行业间及组织间通信的信息安全管理 I S O/I E C2 7 0 1 1:2 0 0 8 信息技术 安

8、全技术 基于I S O/I E C2 7 0 0 2的电信行业组织的信息安全管理指南 I S O/I E C2 7 0 1 3:2 0 1 2 信息技术 安全技术 I S O/I E C2 7 0 0 1和I S O/I E C2 0 0 0 0-1集成实施指南 I S O/I E C2 7 0 1 4:2 0 1 3 信息技术 安全技术 信息安全治理 I S O/I E CT R2 7 0 1 5:2 0 1 2 信息技术 安全技术 金融服务信息安全管理指南为了评估按照G B/T2 2 0 8 02 0 0 8规定的已实施的信息安全管理体系(I n f o r m a t i o nS e

9、c u r i t yM a n-a g e m e n tS y s t e m,简称I S M S)和控制措施或控制措施组的有效性,本标准提供了如何编制测度和测量以及如何使用的指南。为了有助于决定I S M S过程或控制措施是否需要改变或改进,本标准涉及方针策略、信息安全风险管理、控制目标、控制措施、过程和规程,并且支持其校验过程。切记任何控制措施的测量都不能保证绝对安全。本标准的实施形成了信息安全测量方案。信息安全测量方案将有助于管理者识别和评价不相容G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9的、无效的I S M S过程和控制措施

10、,并优化改进或改变这些过程和(或)控制的活动。它也可有助于组织证明G B/T2 2 0 8 02 0 0 8的符合性,并提供管理评审和信息安全风险管理过程的额外证据。本标准假设:制定测度和测量的出发点是按照G B/T2 2 0 8 02 0 0 8要求充分掌握了组织所面临的信息安全风险,并假设已经正确实施了组织的风险评估活动(即基于G B/T3 1 7 2 22 0 1 5)。信息安全测量方案将鼓励组织向利益相关者提供可靠的关于信息安全风险和管理这些风险已实施的I S M S的状况的信息。通过有效地实施信息安全测量方案,将提高利益相关者对测量结果的信任,并能使其利用这些测度实现对信息安全和I

11、S M S的持续改进。累积的测量结果将允许把一段时间内实现信息安全目标的进展当作组织的I S M S持续改进过程的一部分。0.2 管理概述G B/T2 2 0 8 02 0 0 8要求组织“在考虑有效性测量结果的基础上,进行I S M S有效性的定期评审”,并且“测量控制措施的有效性,以验证安全要求是否得到满足”。G B/T2 2 0 8 02 0 0 8也要求组织“确定如何测量已选控制措施或控制措施组的有效性,并指明如何用这些测量措施来评估控制措施的有效性,以产生可比较的和可再现的结果。”组织用以满足G B/T2 2 0 8 02 0 0 8规定的测量要求所采用的方法,将基于一些重要因素而变

12、化,包括组织所面临的信息安全风险、组织规模、可用的资源、适用的法律法规、规章和合同要求。为了防止过多的资源被用于I S M S的一些活动而损害其他活动,慎重选择和证明用于满足测量要求的方法是非常重要的。理想情况下,持续的测量活动将把组织的正常运作和最小的额外资源需求结合在一起。为满足G B/T2 2 0 8 02 0 0 8规定的测量要求,本标准建议基于以下活动:a)制定测度(即基本测度、导出测度和指标);b)实施和运行信息安全测量方案;c)收集和分析数据;d)产生测量结果;e)与利益相关者沟通产生的测量结果;f)将测量结果作为I S M S相关决策的有利因素;g)用测量结果识别已实施的I S

13、 M S的改进需要,包括I S M S的范围、策略、目标、控制措施、过程和规程;h)促进信息安全测量方案的持续改进。组织规模是影响组织完成测量的能力的因素之一。一般来说,业务的规模和复杂性以及信息安全的重要性,都会影响需要的测量程度,其中测量程度是针对已选的测度数量以及收集和分析数据的频率来说的。对于中小型企业来说,一个不太全面的信息安全测量方案就足够了。而对大型企业,则需要实施和运行多个信息安全测量方案。单个信息安全测量方案可满足小型组织,而大型企业可能需要多个信息安全测量方案。本标准产生的文件,有助于证明正在被测量和评估的控制措施的有效性。G B/T3 1 4 9 72 0 1 5/I S

14、 O/I E C2 7 0 0 4:2 0 0 9信息技术 安全技术信息安全管理 测量1 范围为了评估按照G B/T2 2 0 8 02 0 0 8规定实施的信息安全管理体系(I n f o r m a t i o nS e c u r i t yM a n a g e-m e n tS y s t e m,简称I S M S)和控制措施或控制措施组的有效性,本标准提供了如何编制测度和测量以及如何使用的指南。本标准适用于各种类型和规模的组织。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修

15、改单)适用于本文件。G B/T2 2 0 8 02 0 0 8 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 0 5,I D T)G B/T2 9 2 4 62 0 1 2 信息技术 安全技术 信息安全管理体系 概述和词汇(I S O/I E C2 7 0 0 0:2 0 0 9,I D T)3 术语和定义G B/T2 9 2 4 62 0 1 2中界定的以及下列术语和定义适用于本文件。3.1分析模型 a n a l y t i c a lm o d e l将一个或多个基本和/或导出测度关联到决策准则的算法或计算。G B/T2 0 9 1 72

16、0 0 73.2属性 a t t r i b u t e可由人或自动化工具定量或定性辨别的对象特征或特性。G B/T2 0 9 1 72 0 0 73.3基本测度 b a s em e a s u r e用某个属性及其量化方法定义的测度。G B/T2 0 9 1 72 0 0 7注:一个基本测度在功能上独立于其他测度。3.4数据 d a t a赋予基本测度、导出测度和(或)指标的值的集合。G B/T2 0 9 1 72 0 0 71G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 93.5决策准则 d e c i s i o nc r i t e

17、 r i a用于确定是否需要行动或进一步调查的,或者用于描述给定结果置信度的阈值、目标性能或模式。G B/T2 0 9 1 72 0 0 73.6导出测度 d e r i v e dm e a s u r e定义为两个或两个以上基本测度的函数的测度。G B/T2 0 9 1 72 0 0 73.7指标 i n d i c a t o r为由规定信息需要的相关分析模型导出的指定属性提供估算或评价的测度。3.8信息需要 i n f o r m a t i o nn e e d针对目标、目的、风险和问题的管理,所表达的必要见解。G B/T2 0 9 1 72 0 0 73.9测度 m e a s u

18、 r e通过执行一次测量赋予对象属性的数或类别。G B/T2 0 9 1 72 0 0 7注:术语“测度”是基本测度、导出测度和指标的统称。示例:测量出的缺陷率与规划的缺陷率之间的比较,其差异就与指示一个问题的评估紧密联系在一起。3.1 0测量 m e a s u r e m e n t使用测量方法、测量函数、分析模型和决策准则来获取有关I S M S和控制措施有效性信息的过程。3.1 1测量函数 m e a s u r e m e n t f u n c t i o n为组合两个或两个以上基本测度而执行的算法或计算。G B/T2 0 9 1 72 0 0 73.1 2测量方法 m e a s

19、 u r e m e n tm e t h o d一般描述为,用于以指定的标度量化属性的逻辑操作序列。G B/T2 0 9 1 72 0 0 7注:测量方法类型取决于用来量化属性的操作本质。可分为两种类型:主观类涉及人为判断的量化;客观类基于数字规则的量化。3.1 3测量结果 m e a s u r e m e n t r e s u l t s处理某信息需要的一个或多个指标及其相应的解释。3.1 4对象 o b j e c t通过对其属性的测量所表征出来的项。3.1 5标度 s c a l e值的一个有序集合,连续的或离散的;或由属性所映射的一个范畴集合。2G B/T3 1 4 9 72 0

20、 1 5/I S O/I E C2 7 0 0 4:2 0 0 9G B/T2 0 9 1 72 0 0 7注:依赖标度值之间关系的本质,标度类型通常定义为以下四种:标称型标度测量值是范畴化的。顺序型标度测量值是序列化的。间距型标度对应该属性等同的量,测量值具有该等同量的距离。比率型标度对应该属性等同的量,测量值具有该等同量的百分比,其中若该值为零,则对应无该属性。这些只是标度类型的示例。3.1 6测量单位 u n i t o fm e a s u r e m e n t按约定定义和采用的具体量,其他同类量与这个量进行比较,用以表示它们相对于这个量的大小。G B/T2 0 9 1 72 0 0

21、 73.1 7确认 v a l i d a t i o n通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。3.1 8验证 v e r i f i c a t i o n通过提供客观证据对规定要求已得到满足的认定。G B/T1 9 0 0 02 0 0 8注:又称为“符合性测试”。4 本标准的结构为了按照G B/T2 2 0 8 02 0 0 8的4.2要求管理充分和适当的安全控制措施,本标准提供了评估I S M S要求的有效性所需要的测度和测量活动的解释。本标准由以下部分构成:信息安全测量方案和信息安全测量模型的概述(第5章);信息安全测量的管理职责(第6章);信息安全测量方案中实

22、施的测量构造和过程(即计划和制定、实施和运行、改进测量、沟通测量结果)(第71 0章)。此外,附录A提供了信息安全测量构造的一个示例模板,测量构造的组成部分是信息安全测量模型的元素(见第7章)。附录B使用附录A给出的模板,为特定的I S M S控制措施或过程提供了测量构造示例。这些示例的目的是帮助组织实施信息安全测量,并记录测量活动和结果。5 信息安全测量概述5.1 信息安全测量目标在信息安全管理体系的背景下,信息安全测量的目标包括如下几个方面:a)评价已实施的控制措施或控制措施组的有效性 见图1中的4.2.2d);b)评价已实施的I S M S的有效性 见图1中的4.2.3b);c)验证满足

23、已识别的安全要求的程度 见图1中的4.2.3c);d)在组织的总体业务风险方面,促进信息安全执行情况的改进;e)为了便于做出I S M S相关的决策,并证明已实施的I S M S所需的改进,为管理评审提供输入。3G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9针对G B/T2 2 0 8 02 0 0 8规定的规划-实施-检查-处置(P D C A)循环,图1给出了相关的测量活动及其他周期性输入 输出之间的关系。图中每个数字代表G B/T2 2 0 8 02 0 0 8中的相应章节。图1 信息安全管理的I S M SP D C A循环中的测量

24、输入和输出 组织为了建立测量目标,宜考虑下列因素:a)在支持组织的总体业务活动中,信息安全的角色及其面临的风险;b)适用的法律法规、规章和合同要求;c)组织结构;d)实施信息安全测量的成本和效益;e)组织的风险接受准则;f)需要进行比较的同一组织的I S M S。5.2 信息安全测量方案为了便于实现既定的测量目标,组织宜建立并管理一个信息安全测量方案,并且在组织的整体测量活动中采用P D C A模型。为了便于获得可重复的、客观的和有用的测量结果,组织也宜基于信息安全测量模型(见5.4)制定和实施测量构造。为了识别改进已实施的I S M S的需要,信息安全测量方案和已制定的测量构造宜确保组织有效

25、地达到目标和可重复测量,并为利益相关者提供测量结果。这些改进需要包括I S M S的范围、策略、目标、控制措施、过程和规程。一个信息安全测量方案宜包括以下过程:a)测度和测量的制定(见第7章);b)测量运行(见第8章);c)数据分析和测量结果报告(见第9章);4G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9d)信息安全测量方案的评价和改进(见第1 0章)。宜通过考虑I S M S的规模和复杂性来确定信息安全测量方案的组织结构和运行结构。在任何情况下,信息安全测量方案的角色和职责宜明确赋予能胜任的人员(见7.5.8)。信息安全测量方案所选取和

26、实施的测度宜直接与一个I S M S的运行、其他测度以及组织的业务过程相关。测量应被纳入定期的运行活动或按照I S M S管理者所确定的时间间隔定期执行。5.3 成功因素a)为了有助于I S M S的持续改进,信息安全测量方案成功的一些因素如下:1)管理者有关适当资源的承诺;2)现有的I S M S过程和规程;3)为了提供一段时间内的相关趋势,一个能够获取和报告有意义数据的可重复过程;4)基于I S M S目标的可量化的测度;5)容易获取的、可用于测量的数据;6)对信息安全测量方案的有效性评价,以及实现所识别的改进;7)以一种有意义的方式,持续的定期收集、分析和报告测量数据;8)利益相关者使用

27、该测量结果来识别改进已实施的I S M S的需要,包括I S M S的范围、策略、目标、控制措施、过程和规程;9)从利益相关者那里接受有关测量结果的反馈;1 0)评价测量结果的有用性,并实现所识别的改进。b)一旦信息安全测量方案被成功实施,它就可以:1)证明组织对适用法律或法规的要求和合同义务的符合性;2)支持对以前未被发现的或未知的信息安全问题的识别;3)当说明历史和当前活动的测度时,协助满足管理报告的需要;4)用作信息安全风险管理过程、内部I S M S审核和管理评审的输入。5.4 信息安全测量模型注:本标准采用的信息安全测量模型和测量构造的概念都是基于G B/T2 0 9 1 72 0

28、0 7中的概念。本标准中使用的术语“测量结果”是G B/T2 0 9 1 72 0 0 7中“信息产品”的同义词,本标准中使用的“测量方案”是G B/T2 0 9 1 72 0 0 7中“测量过程”的同义词。5.4.1 概述信息安全测量模型是将信息需要和相关测量对象及其属性关联的结构。测量对象可包括已计划的或已实施的过程、规程、项目和资源。信息安全测量模型描述如何将相关属性进行量化并转换为指标,以提供决策依据。图2给出了信息安全测量模型。5G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9图2 信息安全测量模型注:第7章提供了关于信息安全测量模

29、型的各个元素的详细信息。本章接下来介绍模型的各个元素,并给出如何使用这些元素的示例。表1表4的示例中使用的信息需要或测量意图,是用于评估相关人员符合组织安全策略的意识状态(G B/T2 2 0 8 02 0 0 8中控制目标A.8.2、控制措施A.8.2.1和A.8.2.2)。5.4.2 基本测度和测量方法基本测度是可获得的最简单的测度。基本测度是通过对一个测量对象所选择的属性应用一个测量方法而产生的。一个测量对象可能有许多属性,但只有部分属性可提供赋予基本测度的有用值。对于不同的基本测度,可使用一个给定的属性。测量方法是一种逻辑操作序列,用于按指定标度量化属性。操作可能涉及例如统计出现次数或

30、观测时间推移之类的活动。一个测量方法能应用于一个测量对象的多个属性。例如,测量对象可以是:I S M S中已实施的控制措施的执行情况;受控制措施保护的信息资产的状况;I S M S中已实施的过程的执行情况;已实施的I S M S责任人的行为;信息安全责任部门的活动;感兴趣方的满意程度。一个测量方法可以使用来自不同源测量和属性的测量对象,例如:风险分析和风险评估结果;问卷调查和人员访谈;内部和(或)外部审核报告;事件记录,如日志、报告统计和审计轨迹;事件报告,特别是那些产生影响的事件的报告;测试结果,如来自渗透试验、社会工程、符合性测试工具和安全审计工具的结果;6G B/T3 1 4 9 72

31、0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9 与规程和方案相关的组织信息安全记录,如信息安全意识培训结果。表1表4给出了在以下控制措施上信息安全模型的应用:“控制措施2”是指G B/T2 2 0 8 02 0 0 8的控制措施A.8.2.1管理职责(“管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力”);被实施为“与I S M S相关的所有人员在被授权访问一个信息系统前必须签署用户协议”;“控制措施1”是指G B/T2 2 0 8 02 0 0 8的控制措施A.8.2.2“信息安全意识、教育和培训”(“适当时,包括承包方人员和第三方人

32、员在内的组织的所有雇员,应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训”);被实施为“所有I S M S相关人员在被授权访问一个信息系统前必须接受信息安全意识培训”。相应的测量构造包含在B.1内。注:表1表4由不同列组成(表1有4列,表2表4有3列),其中各列被指定一个字母代号。每列中的方格被指定一个数字代号。字母和数字代号的组合被用于随后的方格,以便于参考之前的方格。箭头代表本示例中信息安全测量模型的个体元素之间的数据流。为了测量以上描述的已实施控制措施所建立的对象,表1给出了测量对象、属性、测量方法以及基本测度之间关系的一个示例。表1 基本测度和测量方法示例5.4

33、.3 导出测度和测量函数导出测度是两个或两个以上基本测度的聚集。一个给定的基本测度可作为多个导出测度的输入。测量函数是用于组合两个或两个以上基本测度,以生成一个导出测度的计算。7G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9导出测度的标度和单位取决于组合的基本测度的标度和单位,以及测量函数组合这些基本测度的方法。测量函数可涉及到多种技术,例如求基本测度的平均值、对基本测度进行加权、或给基本测度指定定性值。测量函数可使用不同的标度来组合基本测度,例如使用百分比和定性的评估结果。就信息安全测量模型的应用,进一步涉及基本测度、测量函数和导出测度等元素,表2给出了它们之间关系的一个示例。表2 导出测度和测量函数的示例5.4.4 指标和分析模型指标是一个测度,该测度依据一个分析模型,针对所定义的信息需要,提供所规约属性的一个估算和评价。指标是通过