浅谈信息安全管理的有效性测量方法

　　随着信息系统在企业中的广泛应用，信息安全的问题逐渐突出和严峻，这就体现了进行现安全有效性管理的重要性。实现信息安全管理的有效性测量是对企业进行信息安全运行的风险问题进行评估，进而得出企业的信息安全系统能否同企业信息安全的控制水平相一致，体现了对于整体性提高企业信息安全管理水平的重要性。

　　在21世纪的社会发展新时代，网络、计算机、信息技术被大量的企业纳入到自身的生产经营管理之中，在基本运行中会涉及到企业众多的机密文件和信息，直接关系的企业的发展运行，所以，一旦出现安全问题就会对企业产生重要的影响。

　　所以，在不断深化的应用中，企业开始注重对信息安全的管理，并通过多样化的技术手段和方式来进行强化，但是这样的方式决定了对安全管理的有效性不能进行合理的把握和控制，并且对整体的安全水准也没有实现准确的衡量。所以，如果企业只是强化了信息安全在技术方面的建设，而并没有开展有效的安全管理评估工作，就会使信息安全系统在整体的规划中存在缺陷和漏洞，所以，进行信息安全管理的有效性测量是极为重要的。

　　企业也逐渐认识到其重要性，使得近年来，我国企业对于信息安全有效性的测量需求不断增多，但是，在这方面我国起步较晚，存在着很多不足和缺陷，这就需要在有效的研究中寻找适当的方法来提升测量的整体有效性。

　　一、信息安全管理有效性测量的目的

　　通过实现有效性的测量，能够真实评估和反映企业信息安全管理的整体水平，以使企业在后续的信息安全管理中有明确的发展目标和整体方向。企业进行信息系统的建立时，往往会依据企业自身的发展需求、信息组成、安全标准、组织结构、利益关系等方面的需求进行，进而构筑相应的信息安全的整体体系和相关模型。

　　通过对企业的信息安全管理进行有效性的测量，可以在技术的管理支撑下客观真实的反映企业信息管理的整体性评估，会能实现对企业信息安全管理目标的运行程度进行说明，并能对企业信息安全管理的系统效能开展准确科学的评测，为企业提供进行信息安全管理考核的基本依据[1]。

　　就企业的整体发展实际来看，如果不开展信息安全管理的有效性测量，会使企业的整体管理水平只依赖于基本测评状态下的运行管理水平，难以同真实的信息安全运行环境相脱离，造成企业在安全管理过程中的漏洞和误差，使得企业在正常的运营和发展中的实际需求同所进行信息安全管理的整体水平不相一致，并且在对基础环节下的表面数据有所依赖时，并不能发现运行中的不足和缺陷，更遑论进行有效合理的解决，极大化的为企业的发展运行埋下了信息安全的运行隐患。

　　而通过有效性的测量活动，能够准确的将企业在信息安全方面的漏洞进行定位，并且还能够有效指导基本的解决策略，有效保障企业信息管理系统的整体安全和有效。

　　二、信息安全管理有效性的测量方法

　　在开展信息安全管理有效性的测量时，需要对进行测量的指标进行量化的处理，并最终形成具有实际可行性的量化测量指标。在测量中，不同的指标则需要不同的测量方法来进行，一般而言，具有风险分析、问卷调查、内部审核、渗透性测试、个人访谈、内外对比、风险评估、报表统计等不同的方法。

　　通过不同指标的不同测量之后，能够得得出各个指标的测度结果，在此基础上再根据不同的技术需要对结果进行科学有效的取值管理，给各个指标赋予不同的安全分险权重，然后综合计算企业信息安全管理有效性的整体水平[2]。比如在进行信息安全管理整体运行的有效性测量时，在对基本技术要求进行测量评估时，还需要对企业的环境安全、人员安全、业务联系、安全意识、事件管理等开展管理有效性的评估，以保障最终结果的综合有效性。

　　在信息安全管理有效性的测量发展中，相关专业机构提出了同通过整体的系统模型来实现信息系统的整体安全性的方法。通过信息安全测量模型的建立，将信息系统运行中需要进行安全检测的对象中的某一些属性在通过一系列的检测管理过程之后，得出最后的测量结果，其中最为重要的就是测量方法和基本测度。将测量对象的多个属性应用不同的测量方法之后就能够得到基本测度，而基本测量方法的获取是通过多样化的数据资源进行测量对象的数据获取，比如风险评估结果、日志报表统计记录、调查表、测量结果等途径。

　　就我国当前进行信息安全管理有效性测量的方式而言，在设定环节相对复杂和冗余，但在基本的项目实践中得出如下的基本运行方法：

　　2.1审计监控系统回顾

　　在进行检测时，需要尽可能的发现各个环节所存在违反和潜在信息安全的现象和事件，以实现有效的防治，实现影响的最小化[3]。

　　2.2纠正预防措施验证

　　对已经纳入整体有效性测量计划的纠正预防措施，在开展检测时进行检查和回顾，以保证检验过程中对于信息安全管理系统所采取的各项措施是否合乎当下的现状和企业具体要求。

　　2.3信息安全事故统计

　　主要是对已经发生过的安全事件进行统计和分析，以为检测的有效性提供更加高效合理的方法指引，以实现进行更高角度的评估以及在控制措施方面的有效性。

　　这样的方式是将基本的计划和检测方式实现了有效的结合，并在各种方法的支撑下，实现综合型的检测，做到有效的预防和纠正，从不同的层面反应了进行信息安全检测的有效性，并保障整体运行体系的完整有效性，进而形成一个有效的良性循环。

　　三、结束语

　　就我国的整体实际而言，信息安全管理有效性的测量方法，还处于基础的起步阶段，而且相关的各项理论研究和测量指标等也均没有达到完善的阶段，这就需要进行不断的发展和探索，而且实践证明，进行信息安全管理有效性的研究是有着极为广阔的发展前景的，在保障整体信息运行管理的安全性基础上，能够使企业提升整体的竞争力和自身生存能力，并且能够将测量中发现的问题和相关数据进行分析，然后具有针对性的使企业所存在的风险得到最大化的控制，最终达到基本业务的正常有效运行。

　　薛拥华 邓冲 陈宇 刘板浩 黄刚 来源：中国新通信 2016年9期