ISMS有效性测量与IT绩效管理的关系

２０１３年第９期　（总第１３１期）　信息通信　ＩＮＦＯＲＭＡＴＩＯＮ＆ＣＯＭＭＵＮＩＣＡＴ１０ＮＳ　２Ｏ１３　（Ｓｕｍ．Ｎｏ　１３１）　ＩＳＭＳ有效性测量与ＩＴ绩效管理的关系　秦秋君　（上海天帷企业管理咨询有限公司，上海２０００００）　摘要：建立信息安全管理体系是目前大多数有一定规模的公司的必然行动，但是多数公司只是建立了一套信息安全管理　体系，并没有真正进行有效性的测量，真正将信息安全管理体系的有效性与ＩＴ绩效结合的更是少之甚少。文章着重论　述了信息安全管理体系的有效性测量的意义和原则，以及与ＩＴ绩效之间的关系。　关键词：ＩｓＭＳ；ＩＳＯ２７００１；ＩＴ绩效　中图分类号：ＴＢ１１４　文献标识码：Ａ　文章编号：１６７３—１１３１（２０１３）０９．０１７５．０１　ｌ　ＩＳＭＳ有效性测量的意义　随着国内外各类型组织对信息安全管理工作的重视，越　来越多的组织都在依据各种标准建立适合本组织实际情况的　信息安全管理体系（ＩＳＭｓ）。　１．１满足标准的要求　在ＩＳＯ　２７００１标准中有明确要求组织必须进行ＩＳＭＳ目　标和有效性测量体系，并收集各种实际运行数据，衡量ＩＳＭＳ　的有效性。通过ＩＳＭＳ有效性测量工作，不仅充分满足了标准　的要求，而且可以推动ＩＳＭＳ持续有效的改进。　１．２　ＩＴ部门绩效考核的需要　ＩＳＭＳ有效性测量是对信息安全管理部门工作绩效的一　个有利的侧面展示，通过有效性测量的数据，不但可以使管理　者清晰地了解信息安全管理工作，而且还能增强信息安全管　理工作人员的信心。　在很多企业领导的心目中，ＩＴ部门是不应该出问题的，一　旦出现问题，就是ＩＴ部门的工作不到位，管理不善，形成了“非　黑即白”的思维定势。但是如果一旦一年度下来没有出什么　问题，领导可能会想什么事情都没有，ＩＴ部门的那么多工作人　员都做了什么，年底总结和绩效考核怎么做呢？所以通过　ＩＳＭＳ有效性的测量，可以充分通过量化的数据体现出ＩＴ部　门和ＩＳＭＳ管理人员的工作业绩。　１．３　ＩＳＭＳ持续改进的重要依据　在建立ＩＳＭＳ时，通常都会进行风险评估及风险处理措施　的实施，如果不进行有效性测量，就不能反映出当前组织的各　安全措施的效果如何，即无法表现出信息安全的改进方向在　哪些方面。通过有效性测量，能够更充分地反映出当前组织　的信息安全存在问题及问题的严重程度，为今后的信息安全　的工作重点提供有力的依据。　２　ＩＳＭＳ有效性测量项目的原则　（１）有意义。虽然有效性测量是标准的明确要求，但是在　有效性测量的过程中，不能为了测量而测量，不能为了标准　而测量，各项指标的设定一定要有理有据，每个测量的指标　都应当能够具体反映出ＩＳＭＳ的运行状态，也就是说测量的　数据对改进和优化ＩＳＭＳ是有指导价值和意义的。比如设定　测量“ＥＲＰ系统每年度宕机的时间”的指标就是有意义的，可　以通过测量得出ＥＲＰ系统的运行状态，通过历年宕机次数的　趋势也可以反映出ＥＲＰ系统管理人员的工作绩效和成绩。而　设置“每年进行了几次内部审核”就是没有意义的，因为每年　一般就进行１次内部审核，即使进行多次，这个指标也是没有　意义的。　（２）可操作。一个不能操作的测量指标体系是没有意义　的，所以有效性测量指标体系一定是清晰、明确的，具体可操　作的，而同时又是容易收集、不能花费太大的成本，否则设计　再好的测量指标体系都无法真正的贯彻执行，也就不能充分　发挥有效性测量的真正目的。比如设定测量“每年度信息安　全培训的覆盖率”指标就是可以测量的，通过每次培训参加的　人员签到信息就可以统计，不是十分麻烦。但是设置“员工信　息安全意识的提高程度”就是不可以操作的，而且也不好测量。　（３）可量化。有效性测量的结果一定是可以量化的，因为　只有可以量化的指标才是可以比较的。通过量化的数值、图　形化的参考来展现测量的结果，这样能够清晰、直观地观察到　ＩＳＭＳ的状态趋势，为进行ＩＳＭＳ的改进和信息安全目标的改　进提供指导。比如“每年度重大信息安全事件的发生次数”就　是可以测量，而且可以和各年度进行比较，从而可以体现出　ＩＳＭＳ实施对降低安全事件发生的趋势分析，同时也能体现出　ＩＴ部门和信息安全管理人员的工作业绩。但是设置“公司信　息安全水平的提高程度”就是不可量化的，是无法进行测量和　严格比较的，即使通过定性的形式说明也没有说服力。　３有效性测量项目策划的来源　（１）组织的业务目标。有效性测量一定要与组织的业务　目标相关，是为了组织的核心业务目标而测量的，ＩＳＭＳ的目　标一定要能够反映组织的业务目标。通过对组织业务目标的　满足也可以作为ＩＴ部门和信息安全管理人员的工作业绩的一　个体现。　（２）历史事件总结。历史年度信息安全事件发生的频次、　程度能够在一定程度上反映出组织信息安全的薄弱环节，可　以指导我们来进行ＩＳＭＳ有效性测量目标的设定，这些高频次　的安全事件可作为有效性测量的一个重点，来跟踪验证针对　信息安全事件的安全措施是否有效。如以往病毒发作的安全　事件比较高，那么可以将病毒的发作次数作为有效性测量的　指标来进行测量，以反映出防病毒控制措施的有效性。　（３）干系人关注事项。客户、股东或高层对信息安全的关　注点和期望、上级或监管机构在信息安全方面的关注点和主　要检查项目等都可以作为有效性测量的参考。　总之，信息安全管理体系的有效性测量工作无论是对　ＩＳＭＳ体系的运行与改进，还是对ＩＴ部门和信息安全管理人　员的绩效管理考核来说，都是十分重要和有意义的。但是一　定要进行认真、严谨的策划，保证策划的测量目标是有意义和　可以测量的，同时在ＩＳＭＳ体系文件策划过程中要保证策划的　文件能够将测量目标的基础数据收集到，不要出现年底拍脑　瓜对测量结果进行赋值。在体系文件实施过程中要切实收集　各项真实数据，保证测量结果的真实性，也能真正反映出ＩＴ部　门和信息安全管理人员的工作业绩和绩效考核结果。　１７５