专题 Subject 编辑徐航
提升电力企业信息安全控制措施
有效性初探 →文/陈志佳秦峰
[摘要]基于对ISO/IEC27001《信息技术－安全技术信息安全管理》的研究，对于电力企业信息安全控制措施的有效性进行分析，确保其控制措施的有效和安全需求的满足。
[关键词]信息安全管理体系有效性测量
信息安全不是绝对的，技术在不断进步，信息安全管理需要不断与时俱进去适应新的技术和新的挑战。随着电力企业对信息安全工作重视程度的日益提升，不少电力企业实施了基于ISO/IEC 27001的信息安全管理体系以保护重要信息。但是在体系建立起来并运行一段时间之后，不少参与信息安全的管理者的心中会有这样的忧虑，“这些控制措施是否能够持续有效？如何验证这些控制措施的有效性？”
一、对信息安全管理体系的有效性进行测量的意义和价值
1.对信息安全管理目标考核的
需要
电力企业在建立信息安全管理体系时会依据自身业务发展、各方利益需求及自身的信息安全管理能力等级，来设置自身信息
方方数据
安全管理的目标。通过有效性测量，不但可以对信息安全目标执行状况进行考核，准确评估信息安全管理体系的运行效果，而且还能为管理层对信息安全管理的资源投入提供数据依据。
2.信息安全管理体系持续改进
的重要依据
通过有效性测量，能够反映出当前信息安全管理中所存在的问题及问题的严重程度，为今后的信息安全管理工作提供有力的依据。
3.信息安全管理工作绩效考核的需要
有效性测量结果不仅是评价信息安全管理体系绩效的重要标准，也是对信息安全管理工作绩效的展示。通过有效性测量的数据，不但可以使管理者清晰地了解信息安全管理工作，还能增强信息安全管理工作人员的信心。
4.1SO/IEC27001信息安全管理
体系的有效性要求
在ISO/IEC27001：2005的
4.2.2中有测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估控制措施的有效性的要求。
在ISO/IEC27001的4.2.3中，又
要求定期对信息安全管理体系的有效性进行评审，以及通过对控制措施的有效性测量来检验安全需求是否被满足。
最后在ISO/IEC27001的7.2
中，将有效性测量的结果作为信息安全管理体系管理评审的一个输入内容，单独列成了一项。
以上这些条款都在ISO/IEC 27001的正文部分，足以说明有效性测量对信息安全管理体系的重要程度。
二、如何进行有效性测量 1.选择、设计测量指标
按照循序渐进原则，有效性测