随着国家对信息安全工作重视程度的日益提升,以及企业自身对信息安全管理要求的不断提高,不少企业已开始通过建立一系列的信息安全管理制度、实施必要的技术手段等方式来加强企业的信息安全。但在运行了一段时间后,管理者不禁要问,采取的这些控制措施是否仍然有效?需要持之以恒去做的工作是否还在不断有效地进行着?而解决这些问题,需要通过目标管理和信息安全管理有效性测量的有机结合来实现。
现代管理学之父——彼得·德鲁克说过,不是有了工作才有目标,而是相反,有了目标才能确定每个人的工作。所以,“企业的使命和任务,必须转化为目标”,如果一个领域没有目标,这个领域的工作必然被忽视。信息安全管理也如是,企业的信息安全需要每个人的参与,管理者应该通过目标对下级进行管理,当企业高层管理者确定了企业的信息安全目标后,必须对其进行有效分解,转变成各部门以及各个人的分目标,管理者根据分目标的完成情况对下级进行考核、评价和奖惩。这样就能够使人们用自我控制的管理来代替受他人支配的管理,激发人们发挥最大的能力把安全做好。
国际上通用的信息安全管理方面的标准ISO/IEC27001,在2005年由英国标准BS7799-2转为国际标准时,在内容的更新上,特别增加了对所选控制措施或控制措施组合的有效性进行测量的要求,帮助企业有效地管理信息安全。那么,在实际实施过程中,该如何实现信息安全管理的有效性测量呢?
首先,在策划信息安全管理体系时,要明确信息安全的管理目标。其刚性要求来自国家的法律法规以及客户的要求,企业自身的要求则是弹性要求,重在与公司业务目标的结合。目标的制定要遵循“科学性、可操作性、预见性和可量化性”的原则,对目标进行分解时,要综合考虑风险评估的结果与信息安全管理制度的要求,既不能“遥不可及”也不能“触手可及”。随后,明确测量指标、测量方式、数据来源、负责人以及测量频度等内容,以便为收集数据打下良好的基础。
其次,在实施信息安全管理体系时,要确保所收集数据的真实性。在相应负责人提供数据的基础上,由汇总数据的信息安全专员或组(根据企业的信息安全组织结构而定)进行数据的抽样确认,以确保数据的真实可靠,为随后数据分析结果的准确性提供保障。
第三,在监视和回顾信息安全管理体系时,对数据进行分析并评估报告结果。对数据进行分析时,分析的内容随企业的关注点不同而有所不同,一般包括测量指标的达成情况、现有控制措施是否有效、指标制定的合理性、风险状态的趋势预测等内容。随后形成分析报告提出改进建议,并通过内部审核、管理评审等活动评估有效性测量方法的合理性,测量结果的有效性,以及改进建议的适宜性。
最后,在维护和改进信息安全管理体系时,对评审通过的有效性测量改进内容制定改进方案并加以实施,在适当时候进行改进结果的验证确认,以不断完善信息安全管理的有效性测量,为企业信息安全管理目标的合理设定与达成提供有利保障。
关于测量有这样一段名言,希望能给大家一些启示,以实现企业各自信息安全管理的有效性测量:
如果你不能测量它,你就不能管理它;如果你不能测量它,你就不能改进它;如果你不能测量它,你就不会在意它;如果你不能影响它,那就不要测量它。