oaktomber的个人博客

在ISMS的运作阶段，需要对有效性测量体系进行详细的设计，主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析：

1. 分析有效性测量需求：对于策划阶段的各类有效性测量的输入进行归纳整理，在这个基础上还可以考虑加入一些其它方面的只要指标，比如ISMS的重要活动、信息安全管理的日常操作等，这些方面统一分析整理，最终得出一套需要进行测量的重要指标。
2. 有效性测量指标分解：对归纳出来的各项重要指标做进一步分解，对应到ISMS的各项具体度量项，并为每项设定度量目标的阀值。
3. 测量指标采集方案设计：测量指标采集方案的设计是将各项指标如何测量进行定义，包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行，指标采集频度可以根据不同的指标区别对待，在制定责任人时应尽量避免由操作者直接测量自己工作的指标。
4. 有效性测量指标的记录：按照测量指标采集方案的频率进行检查，并且按照时间线进行记录，记录的数据应客观准确，这样才能真正的反映问题。

在此阶段的过程中，测量指标的选取是一个重点，同时也是一个难点，不能测量的指标过少，但同时也没有比较所有的控制点全部进行测量，下面是一个测量指标分类的参考，可根据实际情况选取一些关键的指标进行度量。

• 管理控制措施：如安全目标、安全意识等方面；
• 业务流程：如风险评估和处理、选择控制措施等；
• 运营措施：如备份、防范恶意代码、存储介质等方面；
• 技术控制措施：如防火墙、入侵检测、补丁管理等；
• 审核、回顾和测试：如内审、外审、技术符合性检查等；