研究信息安全管理测评

时间：2023-08-31 09:13:50 其他范文收藏本文下载本文

以下是小编精心整理的研究信息安全管理测评，本文共7篇，供大家阅读参考。

研究信息安全管理测评

篇1：研究信息安全管理测评

摘要：信息安全管理测评是信息安全管理的一部分，作为衡量信息安全管理状态及其绩效的信息安全管理测评方法学的研究已成为迫切需要解决的重要课题，其对组织信息安全保障体系的建设、管理和改进具有重要意义。

关键词：信息安全管理;测评;要素;指标

人类进入信息化社会，社会发展对信息化的依赖程度越来越大，一方面信息化成果已成为社会的重要资源，在政治、经济、国防、教育、科技、生活等发面发挥着重要的作用，另一方面由于信息技术的迅猛发展而带来的信息安全事件、事故层出不穷，信息安全问题与矛盾日益突出。信息安全工程是一个多层面、多因素的、综合的、动态的系统工程，其包括关键基础设施及硬件安全、运行安全、软件安全、通信安全、人员安全、传输安全、网络安全、人员安全等。组织要实现信息安全目标，就必须建立一套行之有效信息安全管理与技术有机结合的安全防范体系。信息安全管理包括制定信息安全策略(包括计划、程序、流程与记录等)、风险评估、控制目标的选择、控制措施的实施以及信息安全管理测评等。管理大师德鲁克曾经说过“无法度量就无法管理”[1]，强调了测量对组织管理的重要意义，信息安全管理同样也离不开测评。如何对信息安全管理有效性等进行测量，根据测量的结果对组织信息安全管理情况进行评价并进一步指导信息安全管理，提高信息安全管理能力和水平，目前已经成为信息安全领域的一个研究热点[2]。

信息安全管理测评是组织围绕信息化持续发展与信息安全保障的现状和未来综合能力的反映，不仅是对过去和现在的能力展现，而且为未来发展提供保障和动力。在我国，目前关于信息安全管理测评研究刚处于起步阶段，还没有一套可供使用的信息安全测评体系标准、方法等。因此，开展信息安全管理测评研究，对组织信息化建设既具有重要的现实意义也具有长远的持续发展意义。

1 信息安全管理测评发展综述与需求

关于信息安全测评，美国早在通过的《联邦信息安全管理法案》中就要求各机构每年必须对其信息安全实践进行独立测评，以确认其有效性。这种测评主要包括对管理、运行和技术三要素的控制和测试，其频率视风险情况而定，但不能少于每年一次。在独立评价的基础上，联邦管理与预算局应向国会上报评价汇总结果;而联邦审计署则需要周期性地评价并向国会汇报各机构信息安全策略和实践的有效性以及相关要求的执行情况。

7月，美国国家标准与技术研究所(National Institute of Standards and Technology，NIST)发布了NIST SP 800-55《信息技术系统安全测量指南》，其包括以下内容[3]：

1) 角色和职责：介绍发展和执行信息安全测量的主要任务和职责。

2) 信息安全测量背景：介绍测量定义、进行信息安全测量的好处、测量类型、几种可以进行信息安全测量的控制、成功测量的重要因素、测量对管理、报告和决策的作用。

3) 测量发展和执行过程：介绍用于信息安全测量发展的方法。

4) 测量项目执行：讨论可以影响安全测量项目的技术执行的各种因素。

5) 以附件的形式给出的16种测量的模板。

11月17日，美国的企业信息安全工作组(Corporate Information Security Working Group，CISWG)发布了CISWG CS1/05-0079《带有支撑管理测量的信息安全计划要素》[4]，国际标准化组织(ISO/IEC SC27)提出了信息安全管理体系(Information Security Management Systems，ISMS)的系列标准——ISO27000系列。201月10日又发布了修订版，并作为针对ISO/IEC 2nd WD27004 的贡献文档提交给ISO/IEC JTC1 SC27，该文档是根据CISWG的最佳实践和测量小组的报告改编。

年8月31日，美国国际系统安全工程协会(International System Security Engineering Association，ISSEA)针对ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了题为“ISSEA Contribution Background”[5](ISSEA测量的贡献背景)和“ISSEA Metrics”[6](ISSEA测量)两个贡献文档。

国际标准化组织(ISO)发布了ISO/IEC 27004：(信息技术一安全技术一信息安全管理测量)标准，为如何建立及测量ISMS及其控制措施提供了指导性建议[7]。

信息安全管理体系是信息安全保障体系的重要组成部分。近年来，随着组织对信息安全保障工作重视程度的日益增强，不少组织都依据标准GB/T 22081-建立了一套比较完善的ISMS来保护组织的重要信息资产，但是体系建立起来了，不少管理者都对ISMS的运行效果极其控制措施的有效性，持怀疑的态度。故此组织很有必要建立一套相应的测评方法来全面的对ISMS的运行情况进行科学的评价，进一步提升ISMS的执行力。该文研究的信息安全管理测评将为确定ISMS的实现目标，衡量ISMS执行的效力和效率提供一些思想、方法，其结果具有客观的可比性，还可以作为信息安全风险管理、安全投入优化和安全实现变更的客观依据，有助于降低安全风险，减少安全事件的概率和影响，改进安全控制和管理过程的效率或降低其成本。

篇2：研究信息安全管理测评

信息安全管理测评是信息安全管理体系的重要部分，是信息安全管理测量与评价的综合。信息安全管理测量的结果是信息安全绩效评价的依据。信息安全管理测量比较具体，信息安全管理评价则通过具体来反映宏观。

2.1 信息安全管理测评要素及其框架

信息安全管理测评要素包括：测评实体及其属性、基础测评方式、基础测评变量、导出测评制式、导出测评变量、测评方法、测评基线、测评函数、分析模型、指示器、决策准则、测评需求和可测评概念等，其框架如图3.1信息安全测评框架所示，包括：基于什么样的需求来测评(即测评需求)，对什么进行测评(即实体及其属性)，用什么指标体系来测评(包括测评制式、测评变量和测评尺度)，用什么方法来测评(即测评方法)，用什么函数来计算测评结果(即测评函数)，用什么模型来分析测评结果(即分析模型)，用什么方式来使分析结果能够辅助决策(即指示器)等问题。

信息需求是测评需求方提出的'对测评结果信息的需求。信息需求源自于组织的使命和业务目标，与相关利益者的利益诉求密切相关。指示器的生成和分析模型的选择是以信息需求为导向的。

决策准则是一种决定下一步行为的阈值。他有助于解释测评的结果。决策准则可能出自或基于对预期行为在概念上的理解和判断。决策准则可以从历史数据、计划和探索中导出，或作为统计控制限度或统计信心限度计算出来。

可测评概念是实体属性与信息需求之间的抽象关系，体现将可测评属性关联到信息需求以及如何关联的思想。可测评概念的例子有生产力、质量、风险、绩效、能力、成熟度和客户价值等。实体是能通过测评属性描述的对象。一个实体是测评其属性的一个对象，例如，过程、产品、系统、项目或资源。一个实体可能有一个或多个满足信息需求的属性。实践中，一个实体可被归类于多个上述类别。他可以是有形的也可是无形的。信息安全管理测评的实体包括信息安全管理体系建立过程中所有的控制项(信息安全管理测评要素)。属性是实体可测评的、物理的或抽象的性质。一个属性是能被人或自动手段定量或定性区分的一个实体的某一特性或特征。一个实体可能有多个属性，其中只有一些可能对测评有价值。测评模型实例化的第一步是选择与信息需求最相关的属性。一个给定属性可能被结合到支持不同信息需求的多个测评构造中。信息安全管理测评主要测评的是每一项控制措施的属性(信息安全管理测评指标)。

测评是以确定量值为目的的一组操作。信息安全管理测评是确定控制项的每一个具体指标的一组操作，可以有多种测评方法。基础测评是依照属性和定量方法而定义的测评方法，是用来直接测评某一属性的，是根据属性和量化他的方法来定义，他捕获单独属性的信息，其功能独立于其他测评。信息安全管理基础测评是对于控制项的指标可以直接测评出来的量。导出测评是通过测评其他属性来间接地测评某一属性的测评，是根据属性之间的关系来定义，他捕获多个属性或多个实体的相同属性的信息，其功能依赖于基础测评的，是两个或更多基础测评值得函数。

测评尺度是一组连续或离散的数字量值(如小数/百分比/自然数等)或离散的可数量值(如高/中/低/等)。测评尺度是规范测评变量取值的类型和范围。测评方法将所测评属性的量级影射到一个测评尺度上的量值后赋给测评变量。

测评尺度根据尺度上量值之间关系的性质分为四种类型：

名义(Nominal) ：测评值是直呼其名。

序数(Ordinal) ：测评值是有等级的。

间隔(Interval) ：测评值是等距离的，对应于属性的等量，不可能是零值。

比率(Ratio) ：测评值是等距离的，对应于属性的等量，无该属性为零值。

测评单位是作为惯例定义和被广泛接受的一个特定量。他被用作比较相同种类量值的基准，以表达他们相对于此量的量级。只有用相同测评单位表达的量值才能直接比较。测评单位的例子有公尺、公斤和小时等。

测评函数是将两个或更多测评变量结合成导出测评变量的算法。导出测评变量的尺度和单位依赖于作为函数输入的测评变量的尺度和单位以及他们通过函数结合的运算方式。分析模型是将一个或多个测评变量转化为指示器的算法。他是基于对测评变量和/或他们经过一段时间的表现之间的预期关系的理解或假设。分析模型产生与信息需求相关的评估或评价。测评方法和测评尺度影响分析模型的选择。

测评计划定义了测评实施的目标、方法、步骤和资源。测评频率是测评计划的执行频率。测评计划应按规定的频度定期地或在必要的时候不定期地执行。定期执行的规定频度应建立在信息效益的需求与获得他的成本之间的折中，可以是每周、每月、每季度或每年等。不定期执行的必要时候包括ISMS初始规划和实施以及ISMS本身或运行环境发生重大变化。

2.2 信息安全管理测评量表体系

任何测评都必须具备参照点、单位和量表三个要素。信息安全测评指标体系是信息安全测评的基础，是对指定属性的评价，这些属性与测评需求方的信息保障需求相关联，对他们进行评价为测评需求方提供有意义的信息。其总是以满足其信息保障需求和方便易理解的方式呈现给测评需求方的。标准GB/T 22081-2008是进行信息安全管理所参照的标准，其从信息安全方针、信息安全组织、法律法规符合性等11个方面，提出了133个控制措施供使用者在信息安全管理过程中选择适当的控制措施来加强信息安全管理。该标准所提供的控制措施基本能覆盖信息安全管理的各个方面。在建立信息安全管理测评指标体系的实践中，通常以控制措施的实施情况作为指标，建立预选指标集，通过对预选指标集的分析，采用专家咨询的方式筛选出能全面反映信息安全管理有效性的具体指标。

篇3：研究信息安全管理测评

测评方法通常影响到用于给定属性的测评尺度类型。例如，主观测评方法通常只支持序数或名义类型的测评尺度。测评方法是使用指定的测评制式量化属性的操作逻辑序列。操作可能包括计算发生次数或观察经过时间等。同样的测评方法可能适用于多个属性。然而，每一个属性和测评方法的独特结合产生一个不同的基础测评。测评方法可能采用多种方式实现。测评规程描述给定机构背景下测评方法的特定实现。测评方法根据量化属性的操作性质分为两种类型：

主观：含有人为判断的量化。

客观：基于数字规则(如计数)的量化。这些规则可能通过人或自动手段来实现。

测评方法的可能例子有：调查观察、问卷、知识评估、视察、再执行、系统咨询、测试(相关技术有设计测试和操作有效性测试等)、统计(相关技术有描述统计、假设检验、测评分析、过程能力分析、回归分析、可靠性分析、取样、模拟、统计过程控制(SPC， statistical Process control) 图和时序分析等)。

4 结束语

当前，信息安全领域的测评研究多侧重于对技术产品、系统性能等方面的测评，其中信息安全风险评估可通过对重要信息资产面临的风险、脆弱性的评价掌握组织的信息安全状况;信息安全审计则只是对信息安全相关行为和活动提供相关证据;而信息安全管理评审则是符合性审核，他们都不能对信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出评价。因此，非常有必要对信息安全管理的有效性进行测评，这将有助于了解信息安全管理过程中所采取的控制措施的有效性以及控制措施的执行情况，为管理者决策提供依据，也能为组织信息安全管理过程的持续改进提供足够的帮助，达到更好地管理信息安全的最终目的。

参考文献：

[1] 闫世杰，闵乐泉，赵战生.信息安全管理测量研究[J].信息安全与通信保密，，5：53.

[2] 朱英菊，陈长松.信息安全管理有效性的测量[J].信息网络安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， .

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group ( CISWG ) ， -11-17 ( Revised -01-10 ).

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl)，2005-08-31

[6] ISSEA (International System Security Engineering ASSociation ) Metrics Contribution Background ， 2005-08-31

[7] 李尧.论ISMS中的有效性测量——基于ISO/IEC27004：2009的ISMS有效性测量浅析[J].电子产品可靠性与环境试验，，28(3)：53-58.

篇4：数字化档案信息安全管理研究论文

中图分类号：TU714

文献标识码：A

档案记录了一个单位的基本管理信息和科技信息，在其生产和生活中都有着不容忽视的作用，一旦遭到泄漏会给其带来巨大的困扰，甚至会影响到生产和科技成果的保密，直接威胁其在同行业中的地位和发展。因此档案管理人员必须制定完善的安全管理策略，保证档案信息的安全性。下面将从四个方面介绍档案信息安全策略的具体内容。

一、数字化档案信息的安全防范

要想保证数字化档案信息的安全性，首要环节是设置访问权限，对访问用户进行监督和控制，避免档案信息的盗用和泄漏。系统将设置不同的访问权限，用户在登录档案系统时必须输入用户名和密码，这将作为系统识别用户身份的主要途径，系统还会根据用户的登陆端口判断是否为默认的登陆地址，如果不符合系统设定，那么用户就无法登录。通过验证的用户会看到系统开放的访问目录和文件，这是系统根据用户的权限设定的，只有具备相应权限的用户才能看到文件的具体内容。同时，系统会为用户指明其可以行使的功能，如阅读、修改、下载、拷贝等，用户只能按照规定要求操作，如果存在违规行为系统将不予执行，以保护文件不受用户的非法删除和盗用。系统还会自动生成工作日志，包括用户在不同时间的访问记录、具体操作等，为数字化档案信息的安全管理工作提供科学可靠的依据。

二、数字化档案传输的安全控制

一是网络监测和锁定控制。如果用户连续多次登录失败，或者是存在非法侵入档案系统的行为，即被系统判定为非法访问的用户，系统会以图像、声音的形式报警，并自动追踪其网络地址，档案管理人员要随时监控后台系统，以便及时采取应对措施。二是网络端口和节点的安全控制网络环境中信息服务器的端口往往使用自动回呼设备，静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范非法用户的自动拨号程序对计算机进行攻击。网络可以对服务器端口和用户端采取控制。用户必须携带证实身份的验证器，用户的.身份通过验证之后，才能进入用户端，然后，用户端和服务器再进行相互验证。三是信息加密控制。数字化档案的特殊性决定了它的不完全公开性，采用加密技术可以确保数字化档案信息内容的安全。信息加密方法有很多，加密的强度基本上由加密使用的密钥长度来决定。信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供有效的安全保护。

三、实物与环境的安全控制

数字化档案信息是以计算机硬件设备为依托存在的，如果外在的硬件设施遭到破坏，那么档案信息的安全性就会遭受极大威胁。为了分散风险，应定期备份档案信息，将重要的信息分开存储，这样当系统瘫痪时就可以实时还原，不用担心文件的遗失；或者是将档案信息存储到两个服务器上，任何一个服务器都可以当作主服务器，并将两台服务器分开设置，平时只使用其中一台服务器，另一台备用，以备不时之需。同时，应为机房布设两条供电线路和一条后备稳定电源，防止突然断电造成当前的操作中断、数据丢失，使系统在任何情况下都可以正常运行。此外，机房要设置环境监控系统，实时监控环境的温湿度，并做好通风散热工作，防止硬件系统的故障带来的数字化档案信息风险。

四、数字化档案管理人员的安全控制

档案管理人员是保证档案信息安全性的重要一环，只有高素质、高水平的管理人员才能实现对档案信息的全面、精密管理，反之，则会造成档案信息的遗失和泄漏。档案管理人员安全意识薄弱、从传统保管到信息利用的角色转变不及时、整体学历水平不高也是现实问题，因此，做好档案管理人员的培训工作，提高其个人素质和业务能力，打造高水平的管理团队，对于数字化档案管理来说是十分必要的。应定期组织档案管理人员学习国家最新的法律法规、保密条例、计算机技术、档案信息安全等相关知识，使其形成完善的知识体系。

综上所述，随着科技的快速发展，档案信息的管理模式也逐渐向着数字化、智能化的方向转变，实施档案信息的安全管理策略也变得尤为重要。档案管理人员应主动履行自身的岗位职责，针对安全管理漏洞不断完善管理方案，使安全管理策略始终保持预见性和先进性，严格遵循国家的法律法规和岗位制度，将安全管理的各项工作落到实处。

参考文献

[1]梁计恒.数字化档案管理存在的问题与对策[J].办公室业务，（17）：78-80

[2]万云.数字化档案管理的建设[J].办公室业务，（7）：126

篇5：信息安全管理协议书

用户（信息源和信息发送方责任单位）与成都飞数科技有限公司签订业务合同，使用服务方提供的服务时保证遵守以下各项规定：

第1条遵守国家有关法律、行政法规和管理规章，严格执行信息安全管理规定。

第2条根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。甲方未取得许可或者未履行备案手续，将不得从事互联网信息服务。甲方需要开展电子公告服务的，须遵守《互联网电子公告服务管理规定》。甲方需要开展电子邮件服务的，须遵守《互联网电子邮件服务管理办法》。

第3条依据《非经营性互联网备案管理办法》规定，如备案信息不真实，将关闭网站并注销备案。用户保证所有备案信息真实有效，当用户的备案信息发生变化时应及时到备案系统中提交更新信息，如因未及时更新而导致备案信息不准确，将对网站进行关闭处理。

第4条用户不得利用乙方服务发布含有下列内容之一的信息：

1、反对宪法所规定的基本原则的；

2、危害国家安全、泄漏国家秘密、颠覆国家政权、破坏国家统一的；

3、损坏国家荣誉和利益的；

4、煽动民族仇恨、民族歧视、破坏民族团结的；

5、破坏国家宗教政策，宣扬邪教和封建迷信的；

6、散布谣言、扰乱社会秩序、破坏社会稳定的；

7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

8、侮辱或者诽谤他人，侵害他人合法权益的；

9、含有法律、行政法规禁止的其他内容的。

第5条客户发布的信息必须遵守国家有关知识产权的法律、政策规定。

第6条客户在联网测试、试运行期间以及业务正式开通后，应保证其所提供业务内容的安全性与稳定性，不对电信运营商的'相关业务平台造成危害。

第7条客户应建立有效的信息安全保密管理制度和技术保障措施，并接受相关业务主管部门的管理、监督和检查。

第8条若违反上述规定，服务方、电信运营商或电信行业主管部门有权采取必要措施，关闭相关信息源接入通道和信息发送通道，情节严重者终止合作业务，追究客户的法律责任，并追索由此产生的相应的经济损失。

第9条在使用成都飞数服务过程中，服从监督和管理；若我司违反本承诺书的承诺，本公司愿意承担由此引起的一切法律责任，并接受相应的处罚。

网站主办单位（公章）：

网站负责人（签字）：

日期：年月日

篇6：信息安全管理承诺书

本公司及本人，就认购（受让）xx__券公司股权的相关事宜作出如下承诺，并愿承担相关法律责任。

一、本公司在签署《认股协议》（或《股权转让协议》、《__券公司发起人协议》）之前，已对xx__券公司的基本情况、财务状况、经营能力、内部控制、公司治理、客户资产的存管现状、有无违法、违规经营等情况等进行了认真调查，并认可xx__券公司现状。在此前提下，本公司愿意认购（受让）xx__券公司股权，且不存在以信托等方式代其他单位认购（受让）xx__券公司股权的情况。

二、本公司不存在《__券公司管理办法》中所规定的不得成为直接或间接持有__券公司5％及以上股权股东的情形。

三、在本公司股东资格获得__监会核准后，将按照《认股协议》（或《股权转让协议》、《__券公司发起人协议》）真实履行出资义务，既不代替其他股东出资，也不代表他人出资；不采取任何形式从__券公司抽逃出资；不通过股权托管、公司托管等形式变相转让对__券公司的股东权利；不挪用__券公司的客户交易结算资金，不挪用客户托管的债券，不挪用客户委托__券公司管理的资产；不从事任何损害__券公司及其他股东合法权益的行为。

四、本公司将严格按照《公司法》、《__券公司治理准则》（试行）（__监机构字259号）、《xx__券公司章程》的规定，认真履行股东职责，督促xx__券公司守法、合规经营；如xx__券公司在今后的经营过程中出现违法、违规行为，本公司将承担股东应负的责任。

公司（公章）

法定代表人（签字）

总经理（签字）

年月日