信息安全控制措施整体有效性
评价 →文/程燕李智程瑜琦
[摘要】在将组织的正常运作和最小的额外资源需求相结合总原则下，在组织的持续测量活动中，信息安全管理过程中控制措施的范畴，对控制措施进行有效性测量的理由，以及实践过程中有效性测量的实现过程。
[关键词]信息安全控制措施有效性评价
越来越多的企业意识到信息安全控制措施整体有效性测量和评价对于确保体系的效果和效率至关重要。然而，组织如何确定测量所选择的控制措施或控制措施的有效性，并指明如何用这些测量措施来评估控制措施的有效性，以产生可比较的和可再现的结果，测量控制措施的有效性以验证安全要求是否被满足，仍然是难点。
一、信息安全管理体系有效性范畴
理解安全管理体系有效性，需要定义如何测量所选的控制措施或控制措施集的有效性，定期评审信息安全管理体系的有效性，测量控制措施的有效性，以验证安全要求是否被满足，按照计划的时间间隔进行风险评估的评审，促进对信息安全的执行情况的改进，为管理评审提供输入，为信息安全管理体系的决策做参考。
在计划（plan）阶段，选择控制目标和控制措施以便处理风险。控制目标和控制措施将被选定并执
万方数据
行，以满足风险评估和风险处理过进措施。
程所识别的要求，根据当前的威胁和脆弱性对资产的影响，以及当前所实施的控制措施，评估安全失效发生的现实可能性。
在实施（Do）阶段，实施所选的控制措施，以满足控制目标，定义如何测量所选的控制措施或控制措施集的有效性，测量控制措施的有效性，以验证安全需求是否被满足。
在检查（check）阶段，定期评审ISMS的有效性，按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审，应考虑已实施的控制措施的有效性，有效性测量和信息安全管理体系评审的结果作为管理评审的输入，定期进行信息安全管理体系的管理评审，以确保信息安全管理体系范围保持充分，信息安全管理体系过程的改进得到识别，管理评审的输出应包括风险和风险处理计划的更新，测量控制措施有效性的改进措施。
在处置（Act）阶段，执行改
二、针对控制措施进行有效性测量的主要驱动力
1.满足GB/T22080-2008/ISO IEC27001:2005标准的要求。
2.符合标准采用的过程方法“规划（Plan）一实施（Do）一检查（Check）一处置（Act）"模型，并应用于信息安全管理体系的整个过程。
3.为企业的持续改进服务，只有持续不断改进，才能使企业适应市场的需求。
三、控制措施整体有效性测量评价的实现
信息安全管理体系控制措施整体有效性评价的主要步骤包括：确定信息安全测量方案即测定和测量的开发，测量运行，数据分析和测量结果报告，信息安全测量方案的评价和改进。
1.确定测量对象
测量对象可以包括信息安全管理体系中实施的控制措施的执行情
（质量与认证》2014·02143