用户投稿玖、第九章 绩效评估
资讯安全管理系统经过规划建置、执行后必须评估做得够不够、有没有需要改进的地方,第九章就是用来检讨前面的执行措施。
一、9.1 监督、量测、分析与评估
要设定一些我们想要监控的项目,去看看执行的情况是不是如我们预期般,达到当初设定的目标或用意,ISO 27004这项标準就是有关监督量测的指引,对于如何执行监控量测有大量的範例可以参考。下图是ISO 27004与条文9.1的对应:
(一)甚么需要监控及量测
条文一开始就说明应评估资讯安全的绩效与ISMS的有效性,监控就是决定系统、流程或活动的状态是否满足特定的需要,所以监控对象(系统、流程或活动)可包含下列事项:
•执行ISMS的流程
•资讯安全事件
•弱点管理
•配置管理
•资讯安全认知与训练
•存取控制、防火墙及事件纪录
•稽核
•风险评鉴流程
•风险处理流程
•第三方管理
•营运持续
•实体环境安全
•资讯系统
所以监控状态如果有一些数据产生,是可以用来执行量测,量测就是决定某项活动有效性或效能的一个值、状态或趋势,例如条文中要求执行ISMS人员的能力与认知,所以我们律定所有人每年必须接受资讯安全教育训练三小时,以符合其认知及能力,那就可以量测整体员工接受相关教育训练的比率,这就是一种量测。在整个条文中,可以看到有些条文强调有效性,例如:6.1.1.e).2组织必须评估因应风险及机会的有效性,这就需要量测才能决定是否符合预期的规划,条文中有关有效性量测如下:
•计画行动
•领导统御
•风险管理
•政策管理
•资源管理
•沟通
•管理审查
•文件化
•稽核
另外有关附录A控制措施的有效性也是需要监控与量测的,因为这些控制措施是从风险评鉴去决定的风险处理选项。针对控制措施需要量测以下事项,以确认风险是否真的降低或者残余风险确实如我们所预估的。
•控制措施降低多少该风险的可能性
•控制措施降低多少该风险可能造成的冲击程度/等级
•控制措施降低多少在资讯安全失效之前可应对的事件发生频率
•事件发生后经过多长时间,控制措施才能检测到事件已发生
(二)何时监控量测、分析及评估
组织应规划监控量测项目的间隔与期程,可以参考监控量测项目本身的需求,或者是利害关係者的需要,举例来说:对于资讯安全事件,组织应该持续不断地监控,直到发生事件后,可能要对当事人或主管机关进行通报,所以对于量测的数字(例如:阻挡入侵事件等),需要有一个周期的报告,使得当事人或主管机关认同组织所採取的保护措施。所以何时监控量测,取决于需求,这个需求可以来自全景分析、计画或执行;至于何时执行分析及评估作业,须取决于监控与量测所获得的资讯是否足够以及是否有额外的要求,例如:资讯安全目标为系统服务可用率99.9%,可以定义每个月蒐集系统实际可用率,每季将三个月的数字列入表格由业管主管审查,每年统计数字并于管理审查会议中检讨,就可以达到分析评估的作用,并持续监控措施被执行的有效性。组织可以建立程序来执行监控或量测,但条文并没有要求一定要建立程序,组织可以自行决定是否需要建立。
(三)何人执行监控量测及分析评估
条文5.3角色、责任与职权应与9.1结合,律定监控量测所需的人员及能力,执行监控量测基本的人员角色如下:
•量测需求者:管理或关切量测结果的人员,可能是第三方或是管理人员,他们需要量测结果来决策或分析作为。
•量测计画者:规划量测的人员,必须熟悉各项程序产生的数据关联性与有效性。
•量测审查者:审查确认规划量测的方式及结果是否符合需求者的需要。
•资讯拥有者:依照计画执行量测并提供量测资讯的人员。
•资讯蒐集者:负责蒐集、储存及记录相关资讯人员。
•资讯分析者:负责分析监控所获得的资讯。
•资讯沟通者:负责将监控分析结果向需求者沟通的人员。
当然以上的角色并非固定或一定要不同的人来执行,端看组织规模及权限的分配,所以必须结合第五章及第七章的要求来执行。
(四)监控量测方法
监控量测的种类区分两种:
性能量测用以展现所规划之措施(程序、控制措施、流程)的进展,监控量测该控制措施是否已执行、执行的情况等。量测的数据可以来自会议纪录、签到簿、专案计画、自动扫描工具等,尽可能以自动化蒐集方式降低人为因素的干扰及降低成本,举例:笔记型电脑硬碟加密率100%、管理审查参加人员出席情况。效能量测
效能量测用以展现控制措施之有效性、资讯安全目标是否已经达成,用来决定是否需要加强控制措施执行的方式或程度,例如:执行ISMS后降低资安事件所节省的成本、客户信任程度的提升及资讯安全目标达成的比率。组织必须建立相关能力或方式来完成效能量测,例如:
•评估控制措施执行程度(藉由性能量测)
•建立工具蒐集所需要的资讯
•分析所蒐集资讯
•报告决策者相关监控量测的数据
微信扫一扫打赏
支付宝扫一扫打赏
