信息技术—安全技术—信息安全管理—测量 m o 27004 N6614 (FCD) 标准草案 c . 5 h t i g b u 1 目录 0 介绍 ......................................................................... 4 0.1 概述 ....................................................................... 4 0.2 管理层概述 ................................................................. 4 1 范围 ......................................................................... 5 2 规范性引用 ................................................................... 5 m o 3 术语和定义 ................................................................... 5 4 本标准的结构 ................................................................. 9 c . 5 5 信息安全测量概述 ............................................................. 9 5.1 信息安全目标 ............................................................... 9 5.2 信息安全测量项目 .......................................................... 10 5.3 信息安全测量模型 .......................................................... 12 5.3.1 基本测度和测量方法 ...................................................... 13 5.3.2 导出测度和测量函数 ...................................................... 13 5.3.3 指标和分析模型 .......................................................... 14 5.3.4 测量结果和决策准则 ...................................................... 15 b u h t i g 6. 管理职责 ................................................................... 6.1 概述 ...................................................................... 6.2 资源管理 .................................................................. 6.3 测量培训,意识和能力 ...................................................... 15 15 16 16 7. 测度和测量开发 ............................................................. 7.1 概述 ...................................................................... 7.2 测量范围识别 .............................................................. 7.3 信息需要识别 .............................................................. 7.4 对象识别 .................................................................. 7.5 测量开发和选择 ............................................................ 7.5.1 测量方法 ................................................................ 7.5.2 测量函数 ................................................................ 7.5.3 利益相关方 .............................................................. 7.5.4 属性选择和评审 .......................................................... 7.5.5 分析模型 ................................................................ 7.5.6 指标和报告格式 .......................................................... 7.5.7 决策准则 ................................................................ 7.6 测度证实 .................................................................. 7.7 数据收集、分析和报告 ...................................................... 7.8 记录 ...................................................................... 16 16 16 17 18 18 18 19 19 19 20 20 20 21 21 22 2 8. 测量运行 ................................................................... 8.1 概述 ...................................................................... 8.2 规程整合 .................................................................. 8.3 数据收集和处理 ............................................................ 22 22 22 23 9. 测量分析和报告 ............................................................. 9.1 概述 ...................................................................... 9.2 分析数据和产生测量结果 .................................................... 9.3 沟通结果 .................................................................. 23 23 23 24 10. 测量项目评价和改进 ........................................................ 10.1 概述 ..................................................................... 10.2 识别测量项目的评价准则 ................................................... 10.3 监控、评审与评价测量项目 ................................................. 10.4 实施改进 ................................................................. 25 25 25 26 26 m o c . 5 附录 A(资料性附录) 信息安全测量模板 .......................................... 27 附录 B(资料性附录) 测度范例.................................................. 29 b u 参考文献 ...................................................................... 31 h t i g 3 0 介绍 0.1 概述 本国际标准就测度和测量的开发和使用提供了指南和建议,以评估信息安全管理体系 (ISMS)的有效性,包括ISO/IEC 27001中用来实施和管理信息安全的ISMS策略、控制目标和安 全控制措施。 通过使用信息安全测度,组织能识别现有信息安全管理体系的充分性,包括策略、风险管 理、控制目标、控制措施、过程和规程,并支持组织进行过程的修订,决定哪些ISMS过程或控 制措施应该变更和改进。 对该方法的实施组成了一个信息安全测量项目。信息安全测量项目将帮助管理层识别和评 m o 价不符合和无效的控制措施,以及排列与这些控制措施改进或变更相关行动的优先次序。测量 项目也能帮助组织展示与ISO/IEC 27001标准的符合程度,并能产生管理评审过程的输入。 c . 5 对信息安全测量项目的实施,应该优先保证向利益相关方提供了关于各种最严重(或是最 高优先级别)风险及其处置/控制措施状态的可靠信息。本国际标准假
ISO IEC 27004-2009 信息技术-安全技术-信息安全管理-测量 - 中文版
文档预览
中文文档
31 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共31页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-02 02:48:37上传分享