信息技术 安全技术 信息安全管理 测量

ICS

35.040GB/TL80日G中华人民共和国家标准CCCCC—CCCC/1SO/1EC27004:2009信息技术安全技术信息安全管理测量Information technology—Security techniques—Information securitymanagement——Measurement（ISO/IEC27004:2009,IDT）（征求意见稿）（本稿完成日期

2013.

1.20）在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上XXXX-XX-XX发布XXXX-XX-实施中华人民共和国国家质量监督检验检疫总局中国家标准化管理委员会e）为了便于做出ISMS相关的决策，并证明已实施的ISMS所需的改进，为管理评审提供输入针对GB/T22080-2008规定的规划-实施-检查-处置（PDCA）循环，图1给出了相关的测量活动及其它们周期性输入一输出之间的关系图中每个数字代表GB/T22080-2008中的相应章节图1信息安全管理的ISMS PDCA循环中的测量输入和输出组织为了建立测量目标，宜考虑下列因素a）在支持组织的总体业务活动中，信息安全的角色及其面临的风险；b）适用的法律法规、规章和合同要求；c）组织结构；d）实施信息安全测量的成本和效益；e）组织的风险接受准则；f）需要进行比较的同一组织的ISMSo

5.2信息安全测量方案为了便于实现既定的测量目标，组织宜建立并管理一个信息安全测量方案，并且在组织的整体测量活动中采用PDCA模型为了便于获得可重复的、客观的和有用的测量结果，组织也宜基于信息安全测量模型（见

5.4）制定和实施测量构造为了识别改进已实施的ISMS的需要，信息安全测量方案和已制定的测量构造宜确保组织有效地达到目标和可重复测量，并为利益相关者提供测量结果这些改进需要包括ISMS的范围、策略、目标、控制措施、过程和规程一个信息安全测量方案宜包括以下过程a）测度和测量的制定（见第7章）；b）测量运行（见第8章）；c）数据分析和测量结果报告（见第9章）；d）信息安全测量方案的评价和改进（见第10章）宜通过考虑ISMS的规模和复杂性来确定信息安全测量方案的组织结构和运行结构在任何情况下,信息安全测量方案的角色和职责宜明确赋予能胜任的人员（见

7.

5.8）O信息安全测量方案所选取和实施的测度宜直接与一个ISMS的运行、其它测度以及组织的业务过程相关测量应被纳入定期的运行活动或按照ISMS管理者所确定的时间间隔定期执行

5.3成功因素为了有助于ISMS的持续改进，信息安全测量方案成功的一些因素如下a）管理者有关适当资源的承诺；b）现有的ISMS过程和规程；c）为了提供一段时间内的相关趋势，一个能够获取和报告有意义数据的可重复过程；d）基于ISMS目标的可量化的测度；e）容易获取的、可用于测量的数据；f）对信息安全测量方案的有效性评价，以及实现所识别的改进；g）以一种有意义的方式，持续的定期收集、分析和报告测量数据；h）利益相关者使用该测量结果来识别改进已实施的ISMS的需要，包括ISMS的范围、策略、目标、控制措施、过程和规程；i）从利益相关者那里接受有关测量结果的反馈；j）评价测量结果的有用性，并实现所识别的改进一旦信息安全测量方案被成功实施，它就可以1）证明组织对适用法律或法规的要求和合同义务的符合性；2）支持对以前未被发现的或未知的信息安全问题的识别；3）当说明历史和当前活动的测度时，协助满足管理报告的需要；4）用作信息安全风险管理过程、内部ISMS审核和管理评审的输入

5.4信息安全测量模型注本标准采用的信息安全测量模型和测量构造的概念都是基于GB/T20917-2007中的概念本标准中使用的术语“测量结果”是GB/T20917-2007中“信息产品”的同义词,本标准中使用的“测量方案”是GB/T20917-2007中“测量过程”的同义词

5.

4.1概述信息安全测量模型是将信息需要和相关测量对象及其属性关联的结构测量对象可包括已计划的或已实施的过程、规程、项目和资源信息安全测量模型描述如何将相关属性进行量化并转换为指标，以提供决策依据图2给出了信息安全测量模型图2信息安全测量模型注第7章提供了关于信息安全测量模型的各个元素的详细信息本章接下来介绍模型的各个元素，并给出如何使用这些元素的示例在接下来的表1至表4的示例中使用的信息需要或测量意图，是用于评估相关人员符合组织安全策略的意识状态（GB/T22080-2008中控制目标A.

8.

2、控制措施A.

8.

2.1和A.

8.

2.2）基本测度和测量方法基本测度是可获得的最简单的测度基本测度是通过对一个测量对象所选择的属性应用一个测量方法而产生的一个测量对象可能有许多属性，但只有部分属性可提供赋予基本测度的有用值对于不同的基本测度，可使用一个给定的属性测量方法是一种逻辑操作序列，用于按指定标度量化属性操作可能涉及到例如统计出现次数或观测时间推移之类的活动一个测量方法能应用于一个测量对象的多个属性例如，测量对象可以是——ISMS中已实施的控制措施的执行情况；——受控制措施保护的信息资产的状况；——ISMS中已实施的过程的执行情况；——已实施的ISMS责任人的行为；——信息安全责任部门的活动；——感兴趣方的满意程度一个测量方法可以使用来自不同源测量和属性的测量对象，例如——风险分析和风险评估结果；——问卷调查和人员访谈；——内部和（或）外部审核报告；——事件记录，如日志、报告统计和审计轨迹；——事件报告，特别是那些产生影响的事件的报告；——测试结果，如来自渗透试验、社会工程、符合性测试工具和安全审计工具的结果；——与规程和方案相关的组织信息安全记录，如信息安全意识培训结果下表1-4给出了在以下控制措施上信息安全模型的应用——“控制措施2指的是GB/T22080-2008的控制措施A.

8.

2.1管理职责（“管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力”）；被实施为“与ISMS相关的所有人员在被授权访问一个信息系统前必须签署用户协议”；——“控制措施1指的是GB/T22080-2008的控制措施A.

8.

2.2“信息安全意识、教育和培训”（“适当时，包括承包方人员和第三方人员在内的组织的所有雇员，应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训”）;被实施为“所有ISMS相关人员在被授权访问一个信息系统前必须接受信息安全意识培训”相应的测量构造包含在B.1内注表1-4由不同列组成（表1有4列；表2-4有3列），其中各列被指定一个字母代号每列中的方格被指定一个数字代号字母和数字代号的组合被用于随后的方格，以便于参考之前的方格箭头代表本示例中信息安全测量模型的个体元素之间的数据流为了测量以上描述的已实施控制措施所建立的对象，表1给出了测量对象、属性、测量方法以及基本测度之间关系的一个示例表1基本测度和测量方法示例

5.

4.3导出测度和测量函数导出测度是两个或两个以上基本测度的聚集一个给定的基本测度可作为多个导出测度的输入测量函数是用于组合两个或两个以上基本测度，以生成一个导出测度的计算导出测度的标度和单位取决于组合的基本测度的标度和单位，以及测量函数组合这些基本测度的方法测量函数可涉及到多种技术，例如求基本测度的平均值、对基本测度进行加权、或给基本测度指定定性值测量函数可使用不同的标度来组合基本测度，例如使用百分比和定性的评估结果就信息安全测量模型的应用，进一步涉及到基本测度、测量函数和导出测度等元素，表2给出了它们之间关系的一个示例表2导出测度和测量函数的示例

5.

4.4指标和分析模型指标是一个测度，该测度依据一个分析模型，针对所定义的信息需要，提供所规约属性的一个估算和评价指标是通过应用一个分析模型于一个基本和/或导出测度，并把它们与决策准则进行组合而获得的标度和测量方法影响用于产生指标的分析技术的选择表3给出了信息安全测量模型应用的导出测度、分析模型和指标之间关系的一个示例表3指标和分析模型的示例注如果一个指标是以图形形式给出的，那么就要使之对残疾用户是可用的，或可用于单色拷贝为此，宜尽可能使该指标包括颜色、暗影、铅字或其它可视化方法

5.

4.5测量结果和决策准则测量结果是基于确定的决策准则，通过解释适当的指标而产生的，并宜在评估ISMS有效性的整体测量目标的背景下来考虑决策准则的目的是确定是否需要采取措施或进一步调查，同时用于描述给定测量结果的可信度决策准则可适用于一系列的指标，例如基于在不同时间点获得的指标，进行趋势分析目标性能为组织或其部门提供了一种可用的、详细的性能规约该目标性能来自信息安全目标（例如ISMS目标和控制目标），以及为了实现这些目标，需要建立和实现该目标性能表4给出了信息安全测量模型应用的指标、决策准则和测量结果之间关系的一个示例表4测量结果和决策准则的示例6管理职责

6.1概述管理者负责建立信息安全测量方案、吸纳利益相关者（见

7.

5.8）参与测量活动、接受测量结果作为管理评审的输入以及在ISMS改进活动中使用测量结果为了完成上述职责，管理者宜a）确定信息安全测量方案的目标；b）制定信息安全测量方案的策略；c）建立信息安全测量方案的角色和职责；d）提供足够的资源来执行测量，包括人员、资金、工具和基础设施；e）确保信息安全测量方案的目标得以实现；f）确保用于收集数据的工具和设备能够得到适当维护；g）为每一个测量构造建立测量意图；h）确保测量就ISMS有效性和已实施的ISMS的改进需求为利益相关者提供充足的信息，包括ISMS的范围、策略、目标、控制措施、过程和规程；i）确保测量就控制措施或控制措施组的有效性和改进已实施的控制措施的需求为利益相关者提供充足的信息通过适当分配测量角色和职责，管理者宜确保测量结果不受信息拥有者（见

7.

5.8）的影响这可通过职责分离来实现，或者可借助能够进行独立检查的详细文件来实现

6.2资源管理为了支持测量必需的活动，例如数据收集、分析、存储、报告和发布，管理者宜分配和提供相应的资源资源分配宜包括a）负责信息安全测量方案的各个方面的人员支持；b）适当的资金支持；c）适当的基础设施支持，例如用于执行测量过程的物理基础设施和工具注GB/T22080-2008中

5.

2.1规定了提供ISMS实施和运行所需资源的要求

6.3测量培训、意识和能力管理者宜确保a）对已实施的信息安全测量方案，利益相关者（见

7.

5.8）在实现其角色和职责方面得到充分的培训，并且有能力执行其角色和职责；b）利益相关者了解其责任，包括为改进所实施的信息安全测量方案提出建议的责任7测度和测量的制定

7.1概述为了评估已实施的ISMS和控制措施或控制措施组的有效性，并识别组织特定的测量构造集合，本章给出了如何编制测度和测量的指南宜建立编制测度和测量所需的活动，并应建立相应的文件活动包括a）定义测量范围（见

7.2）；b）识别信息需要（见

7.3）；c）选择测量对象及其属性（见

7.4）；d）制定测量构造（见

7.5）；e）应用测量构造（见

7.6）；f）确定数据收集和分析过程及报告（见

7.7）；g）确定测量实施途经和相应的文件（见

7.8）在建立这些活动时，组织宜考虑资金、人力和基础设施（物理的和工具）资源由于组织能力和资源的缘故，测量活动的初始范围将受限于诸如特定的控制措施、受特定控制措施保护的信息资产、管理者给出最高优先级的特定信息安全活动等因素随着时间的推移，考虑到利益相关者的优先级，为了处理已实施的ISMS和控制措施或控制措施组的深层要素，测量活动的范围还将可能扩大宜识别利益相关者，并宜使其参与到测量范围的定义之中利益相关者可以是组织内部的或外部的,例如项目管理者、信息系统管理者或信息安全决策者宜确定用于强调单个控制措施或控制措施组有效性的特定测量结果，并与利益相关者进行沟通为了确保决策者有能力根据报告的测量结果有效改进ISMS,组织可考虑限制在给定时间间隔内向决策者报告的测量结果数量因为报告的测量结果过多，会影响决策者集中精力和对未来改进活动进行优先级排序的能力宜根据相应的信息需要及其相关ISMS目标的重要性来对测量结果进行优先级排列注测量范围是与根据GB/T22080-2008中

4.

2.1a）确定的ISMS范围相关的

7.3信息需要的识别每一个测量构造宜至少符合一个信息需要附录A给出了一个信息需要的例子，该信息需要始于测量意图，终于相关的决策准则为了识别相关的信息需要，宜执行以下活动a）检查ISMS及其过程，例如1）ISMS策略和目标、控制目标和控制措施；2）法律法规、规章、合同和组织上的信息安全需要；3）GB/T22080-2008中描述的信息安全风险管理过程结果b）基于以下准则对已识别的信息需要进行优先级排序，例如1）风险处置优先级；2）组织的能力和资源；3）利益相关者的利益；4）信息安全策略；5）满足法律法规、规章和合同所需的信息；6）相对于测量成本的信息价值；c）为优先级列表中所强调的测量活动，选择所需要的信息子集；d）建立所选的信息需要的文件，并与所有利益相关者进行沟通宜根据所选的信息需要实施所有相关测度，这些测度是应用于已实施的ISMS、控制措施或控制措施组的

7.4对象及其属性的选择宜在ISMS整体背景和范围内识别测量对象及其属性宜注意一个测量对象可能有多个可用的属性测量用的对象及其属性宜根据相应信息需要的优先顺序来选择赋予相关基本测度的值是通过对所选属性应用适当的测量方法获得的这一选择宜确保——能识别相关基本测度和适当的测量方法；——基于获取值和已制定的测度，产生有意义的测量结果已选属性的特征决定了使用何种类型的测量方法（如定性或定量），以获取赋予基本测度的值宜建立已选对象和属性的文件，并给出选择依据描述测量对象及其相应属性的数据宜用作赋予基本测度的值测量对象的例子包括但不限于——产品和服务；——过程；资产清单）中己识别的可用资产，例如设施、应用和信息系统；一一业务单位；——地理位置；——第三方服务宜评审属性以确保a）为测量选择了适当的属性；b）已确定了的收集数据能够为有效测量提供足够数量的属性宜选取仅与相应基本测度有关的属性虽然属性的选择宜考虑在获取要测属性的难度，但不宜仅选择那些容易获得的数据或容易测量的属性

7.5测量构造的制定

7.

5.1概述本条（

7.5）从

7.

5.2（测度选择）到

7.

5.8（利益相关者）给出了测量构造的制定方法

7.

5.2测度选择宜识别可能满足已选信息需要的测度为了实施所选择的测度，宜足够详细地定义已识别的测度新识别的测度可涉及到现有测度的改变注基本测度的识别是与测量对象及其属性的识别密切相关的宜选择可能满足已选信息需要的已识别的测度也宜考虑解释或规范测度必需的背景信息注可以选择许多不同的测度组合（即基本测度、导出测度和指标）用于处理特定的信息需要已选测度宜反映信息需要的优先顺序更多可用于选择测度的示例准则包括——数据容易收集；——为收集和管理数据，人力资源具有可用性；——具有可用的适当工具；——基本测度支持的潜在相关指标的数量；容易解释；——已制定的测量结果的用户数量；——该测度适合意图或信息需要的证据；——收集、管理和分析该数据的成本；

7.

5.3定义测量方法宜为每个基本测度定义一种测量方法测量方法通过把属性变成赋予基本测度的值来量化测量对象测量方法可以是主观或客观的主观方法依赖于涉及人为判断的量化；而客观方法使用基于诸如计算的数值规则的量化，可通过人工或自动化手段予以实现测量方法通过应用适当的标度将属性量化为值每个标度都有测量单位只用同一测量单位表示的量可以直接进行比较对于每个测量方法，宜建立验证过程，并建立相应的文件验证宜确保通过对测量对象的属性应用一个测量方法得到的、并赋给基本测度的值的可信度需要确定有效值时，用来获取属性的工具宜被标准化，并在规定的时间间隔内对其进行验证宜考虑测量方法的精度，并宜记录相关的偏差或变化为了便于在不同时间赋给基本测度的值是可比较的，赋给导出测度和指标的值也是可比较的，测量方法宜在整个时间内是一致的

7.

5.

45.4定义测量函数宜为每个导出测度定义一个测量函数，应用该函数对两个或两个以上基本测度进行赋值通过测量函数把对一个或多个基本测度的赋值变成对一个导出测度的赋值在某些情况下，除了导出测度外，基本测度可直接作为分析模型的输入测量函数（例如一个计算）可能涉及多种技术，例如计算所有基本测度的赋值的平均值、对基本测度的赋值进行加权，或在把基本测度聚合成导出测度之前，给基本测度的赋值指定定性值测量函数可采用不同标度来组合基本测度的赋值，例如采用百分比和定性评估结果

7.

5.5定义分析模型宜为每个指标确定分析模型，以便将一个或多个赋给基本测度和（或）导出测度的值转换成对该指标的赋值分析模型以一种对利益相关者产生有意义输出的方式，对相关测度进行组合当定义分析模型时，也宜考虑应用于指标的决策准则有时，一个分析模型可能是相当简单的，只是把一个导出测度的值转换成赋予一个指标的值

7.

5.6指标的生成通过聚合赋予导出测度的值来产生赋予指标的值，并基于决策准则解释这些值对于报告给用户的每个指标，宜定义指标表达格式，作为报告格式的一部分（见

7.7）指标表述格式将直观地描述测度，并提供指标的逐字说明指标表述格式宜客户化，以便满足客户的信息需要

7.

5.7定义决策准则宜基于信息安全目的，对每一个指标，定义相应的决策准则，以便为利益相关者提供措施方面上的指南这一指南宜基于指标，强调期望的进展以及初始改进措施的阈值决策准则建立了一个性能目的，通过这一性能目的来度量测量方案的成功（参见

5.3）,并提供有关解释该指标是否接近该目标的指导宜对ISMS过程和控制性能、达到的目的以及对该ISMS的有效性评估等每一项，建立相应的性能目的管理者在初始数据收集之前可以不建立有关指标的性能目标一旦识别了基于初始数据的纠正措施,那么就可以为一个特定的ISMS定义实际可用的决策准则和实施里程碑如果在一个点上没有建立决策准则，那么管理者就宜评价该测量对象及其对应的测度是否为组织提供了所期望的值如果历史数据就开发的或选择的测度是可用的话，那么建立决策准则就可能是服务性的过去所观察的趋势将提供以前存在的性能程度的见解，并指导创建实际可用的决策准则决策准则可以计算出来，或基于所期望行为的概念上的理解决策准则可以从历史数据、计划和直觉中导出，或按统计上的控制限度或统计上的可信度限度计算出来

7.

5.8识别利益相关者宜为每个基本和/或导出测度识别适当的利益相关者，并建立相应的文件利益相关者可包括a）测量委托人要求或需要关于ISMS、控制措施或控制措施组的有效性的信息的管理者或其他相关方；b）测量评审人确认已制定的测量构造是否适合于评估ISMS、控制措施或控制措施组的有效性的人员或部门；c）信息拥有人拥有关于测量对象及其属性的信息，并且负责该测量的人员或部门；d）信息收集人负责收集、记录和存储数据的人员或部门；e）信息沟通人负责分析数据并负责沟通测量结果的人员或部门

7.6测量构造的应用在应用测量构造中，其规约至少宜包括如下信息a）测量目的；b）要测量的控制措施、特定控制措施、一组控制措施以及要测量的ISMS过程所实现的控制目的；c）测量对象；d）要收集、使用的数据；e）数据收集和分析的过程；f）测量结果报告过程，包括报告格式；g）利益相关者的角色和职责；h）评审测量的周期，以确保其对信息需要是有用的附录A给出了一个通用的测量构造实例，包含a）到h）附录B给出了应用于测量ISMS过程和控制措施的测量构造实例

7.7数据收集、分析和报告的建立宜建立数据收集和分析的规程，并报告已产生测量结果的过程如有需要，也宜建立支持工具、测量设备和技术这些规程、工具、测量设备和技术将关注以下活动—）数据收集，包括数据存储和验证（见

8.3）规程宜识别在使用测量方法、测量函数和分析模型中，如何收集数据，以及在任何特定信息环境下如何存储数据为了验证丢失的数据是否是最小的，并且赋给每个测度的值是否是有效的，通过对照构造的检查表，检查数据来完成数据验证注赋予基本测度的值的验证是与测量方法（见

7.

5.3）的验证密切相关的—）数据分析和已产生的测量结果的报告规程宜规定数据分析技术（见

9.2）以及报告测量结果的频率、格式和方法宜识别执行数据分析可能需要的工具范围报告格式的例子包括——记分卡，通过整合高层次指标，提供战略信息；——可执行和可运行的仪表，其极少注重于战略目标，更多地受特定的控制措施和过程的有效性的约束；——报表，其形式可以是简单和静态的报表（例如给定时期内的测度列表），也可以是相当复杂的交叉报表，具有嵌套分组、滚动总结、动态追溯或链接功能当用户需要查看原始数据时，报表最好使用容易阅读的格式——表示一个动态值的测量仪器，包括警报、附加的图形元素和终点标记

7.8测量实施途径和相应文件的建立在一个实施计划中，宜建立测量整个途径的文件该实施计划至少宜包括以下信息a）组织信息安全测量方案的实施情况；b）如下的测量规约1）组织通用的测量构造；2）组织独有的测量构造；3）数据收集、分析的范围和规程的定义；c）执行测量活动的日程计划；d）通过执行测量活动产生的记录，包括已收集的数据和分析记录；e）向管理者或利益相关者报告的测量结果的报告格式（见GB/T22080-2008第7章“管理评审”）8测量运行

8.1概述为了确保已产生的测量结果能为已实施的ISMS、控制措施或一组控制措施的有效性提供准确的信息，信息安全测量的运行涉及到一些必不可少的活动活动包括a）将测量规程整合到整个ISMS的运行中；b）收集、存储并验证数据

8.2规程的整合信息安全测量方案宜完全整合到ISMS中，并由该ISMS所使用测量规程宜与ISMS运行相协调，包括a）针对信息安全测量的制定、实施和维护，定义角色、授权和职责，并建立相应的文件；b）收集数据，并在必要时，为了配合数据的产生和收集活动，修改当前ISMS的运行；c）与利益相关者沟通数据收集活动中的变更；d）保持信息收集人能力，及其对已需要的数据类型、数据收集工具和数据收集规程的理解；e）有关定义测量在组织内的使用、测量信息的发布、信息安全测量方案的审核和评审，制定方针策略和规程；f）把数据分析和报告与相关过程进行整合，以便确保它们的正常执行；g）监视、评审和评价测量结果；h）为了确保测度和组织一起发展，建立逐步淘汰测度和增加新测度的过程；i）为了进行趋势分析，建立一个确定历史数据使用寿命的过程

8.3数据收集、存储和验证数据收集、存储和验证活动包括a）定期使用指定的测量方法收集所需的数据；b）建立数据收集的文件，包括1）数据收集的日期、时间和地点；2）信息收集人；3）信息拥有人；4）在数据收集期间发生的、所有可能有用的问题；5）有关数据验证和测量确认的信息；c）按照测度选择准则和测量构造确认准则，验证所收集的数据宜整合已收集的数据和所有必要的背景信息，并以有利于进行数据分析的记录格式进行存储9数据分析和测量结果报告

9.1概述为了产生测量结果，宜分析已收集的数据宜通报已产生的测量结果活动包括a）分析数据并产生测量结果；b）与利益相关者沟通测量结果

9.2分析数据并产生测量结果宜使用决策准则分析和解释已收集的数据在分析之前，数据可被整合、转换或重新记录在分析数据期间，为了产生指标，宜对数据进行相应的处理可应用到许多分析技术宜根据数据特点和信息需要，确定分析的深度注执行统计分析的指南可在ISO/TR10017（统计技术在ISO9001中的应用指南）中找到宜解释数据分析结果分析结果的人员（沟通者）宜能够根据结果得出初步结论然而，由于沟通者可能不直接参与技术和管理过程，因此这些结论需要由其他利益相关者予以评审所有的解释宜考虑测度的背景数据分析宜识别已实施的ISMS、控制措施或控制措施组的预期测量结果与实际测量结果之间的差距己识别的差距将能够指出已实施的ISMS的改进需要，包括ISMS的范围、方针策略、目标、控制措施、过程和规程宜识别那些被证明不符合或者不良性能的指标，并可把它们归类如下a）风险处置计划失效于实施，或失效于控制措施或失效于ISMS过程的不充分实施、运行和管理（例如，控制措施和ISMS过程可能被威胁绕过）；b）风险评估失效于1）控制措施或ISMS过程是无效的，因为它们要么不足以应对己估计的威胁（如因为低估了威胁发生的可能性），要么不足以应对新的威胁；2）没有实施控制措施或ISMS过程，因为忽视了威胁按照信息安全测量方案的实施计划，宜采用适当的报告格式（见

7.7）,编制用于跟利益相关者沟通测量结果的报告为了确保数据的合理解释，分析结论宜由利益相关者予以评审为了与利益相关者沟通，宜对数据分析的结果，建立相应的文件

9.3沟通测量结果信息沟通者宜确定如何沟通信息安全测量结果，例如——确定哪些测量结果要向内部和向外部报告；——测度列表要与单个利益相关者或相关方对应；——提供特定测量结果，根据各组需要裁剪表述类型；——为了评价测量结果的有用性和信息安全测量方案的有效性的需要,获取利益相关者反馈信息的方式信息沟通者宜与不同类型的内部利益相关者沟通测量结果内部利益相关者包括但不限于——测量委托人（见

7.

5.8）；——信息拥有人（见

7.

5.8）；——承担信息安全风险管理的人员，特别是那些风险评估失效的人员；——负责那些被识别为需要进行改进领域的人员有些情况下，会要求组织向外部各方（包括监管部门、利益相关者、客户和提供方）分发测量结果报告建议组织向外部分发的测量结果报告只包含适合外部发布的数据，并且在发布前得到管理者和利益相关者的批准10信息安全测量方案的评价和改进

10.1概述组织宜按计划的时间间隔评价以下方面a）已实施的信息安全测量方案的有效性，以确保它1）以有效的方式产生测量结果；2）可按计划予以执行；3）关注了已实施的ISMS和（或）控制措施的变化；4）关注了环境（如要求、法律或技术）的变化；b）已产生的测量结果的有用性，以确保已产生的测量结果满足相关的信息需要管理者宜规定这种评价的频率，规划定期修订，并建立使修订成为可能的机制（见GB/T22080-2008:

7.2）O宜包括以下相关活动1）识别信息安全测量方案的评价准则（见

10.2）；2）监视、评审和评价测量（见

10.3）；3）实施改进（见

10.4）

10.2识别信息安全测量方案的评价准则组织宜为评价信息安全测量方案的有效性以及评价已产生的测量结果的有用性，定义相应的评价准则该评价准则宜在开始实施信息安全测量方案时，通过考虑技术和组织业务目标予以定义在组织评价和改进已实施的信息安全测量方案时，最可能的准则包括——组织业务目标的变更；——信息安全法律法规或规章的要求和合同义务的变更；——组织信息安全要求的变更；——组织信息安全风险的变更；——为测量意图，增强更精细或更适宜数据的可用性，或增强数据收集方法的可用性；——测量对象和（或）其属性的变更以下准则可应用于评价已产生的测量结果a）测量结果是1）易于理解的；2）以及时的方式进行沟通的；3）客观的、可比较的和可重新生成的b）为了产生测量结果而建立的过程1）被很好地定义；2）易于运行；3）被正确遵循c）测量结果对改进信息安全有帮助d）测量结果满足相应的信息需要

10.3监视、评审和评价信息安全测量方案组织宜按照已确立的准则（见

10.2）,监视、评审和评价信息安全测量方案组织宜识别改进信息安全测量方案的潜在需求，包括a）修订或删除已采用的、不再适用的的测量构造；b）重新分配资源，以支持信息安全测量方案组织也宜识别改进已实施的ISMS的潜在需求，包括ISMS的范围、策略、目标、控制措施、过程和规程；为了便于在随后的评审期间进行比较和趋势分析，组织宜建立管理决策的文件组织宜与利益相关者沟通评价结果和已识别的潜在改进需求，方便其对必要的改进做出相应的决策组织宜确保获取利益相关者对评价结果和已识别的潜在改进需要的反馈组织宜了解该反馈是对信息安全测量方案有效性的输入之一

10.4实施改进组织宜确保利益相关者识别出信息安全测量方案所需要的改进（见GB/T22080-

20087.3e））已识o别的改进宜得到管理者的批准宜为已批准的计划建立相应的文件，并与适当的利益相关者进行沟通组织宜确保已批准的信息安全测量方案的改进能够按计划予以实施组织可应用项目管理技术来完成这些改进附录A（资料性附录）信息安全测量构造模板附录A给出了一个信息安全测量构造的示例模板，根据

5.4节的描述，该模板包括

7.5节中所识别的所有成分组织可根据自己的要求，对该模板进行适当的修改测量构造识别测量构造名称测量名称数字标识符组织特定的唯一的数字标识符测量构造的意图描述引入该测量的理由控制/过程目标（已计划或实施的）测量的控制/过程的目标控制措施

（1）/过程

（1）要测量的控制措施/过程可选如适用（已计划或实施的），在同一测度的控制措施/过程集内进一控制措施

（2）/过程

（2）步要测的控制措施/过程测量对象及其属性测量对象对象（实体）是通过测量其属性来表征其特征的对象可能包含过程、计划、项目、资源、系统或系统组件属性测量对象的特征或特性，可以通过人为的或自动的手段定量或定性方法予以区分基本测度说明（对每一个基本测度［l・.n］）♦利用一个属性及量化该属性所规约的测量方法来定义一个基本测度（例如受基本测度训人员数量、场所数量、迄今为止的累计成本）当数据收集后，一个值被赋予给一个基本测度测量方法一种逻辑操作序列，用于按指定标度量化属性取决于用来量化属性的操作本质可分为两种类型主观类一涉及人为判断测量方法类型的量化；客观类一基于数字规则（例如统计）的量化标度值的一个有序集合；或由该基本测度的属性所映射的范畴取决于标度值间关系的本质通常定义四种类型的标度标称型标度、顺序标度类型型标度、间距型标度和比率型标度按约定定义和采用的具体量，其他同类量与这个量进行比较，以便把两者的测量单位比率表示为一个数导出测度说明导出测度由两个或两个以上基本测度的函数导出的测度为组合两个或两个以上基本测度而执行的算法或计算导出测度的标度和单测量函数位取决于所组合的基本测度的标度和单位，以及组合这些基本测度的测量函数指标说明指标依据一个分析模型所导出的测度，该测度就所定义的一个信息需要，针对所规约的属性，提供了一个估算或评价指标是分析和决策制定的基础按照相关的决策准则，组合一个或多个基本测度和（或）导出测度的算法或分析模型计算分析模型基于基本测度和（或）导出测度和（或）它们在整个测量期间行为的理解或假设模型产生与已确定的信息需要相关的评估或评价决策准则说明用于确定有关行动或进一步调查的需要，或者用于描述给定结果可信度的阈决策准则值、目标性能或模式决策准则有助于解释测量结果测量结果指标解释样例指标（见指标描述中的样例图）宜如何解释的一个描述宜识别报告格式，并建立相应的文件描述组织或信息责任人可能想记录的报告格式评论报告格式将真实地描述测度，并提供指标的书面说明报告格式宜针对该信息客户予以客户化利益相关者要求或需要关于ISMS、控制措施或控制措施组的有效性信息的管理者或其测量委托人他相关方确认已制定的测量构造是否适合于评估ISMS、控制措施或控制措施组的有测量评审人效性的人员或部门信息责任人拥有关于测量对象及其属性的信息，并且负责测量的人员或部门信息收集人负责收集、记录和存储数据的人员或部门信息沟通人负责分析数据并沟通测量结果的人员或组织部门频率/周期数据收集频率多久收集一次数据数据分析频率多久分析一次数据测量结果报告频率测量结果多久报什次（可能比数据收集频率低）测量修订测量修订的日期（测量有效期满或更新）测量周期定义测量的周期附录B（资料性附录）测量构造示例以下给出了测量构造的示例这些示例是为了说明如何使用附件A中提供的模板来应用本标准目次B.1ISMS培训B.

1.1已完成ISMS培训的人员B.

1.2信息安全培训B.

1.3信息安全意识符合性

8.2口令策略

8.

2.1口令质量一手册

8.

3.2口令质量一自动化

8.3ISMS评审过程B.4ISMS持续改进信息安全事件管理B.

4.1有效性B.

4.2纠正措施的实施B.5管理承诺B.6防范恶意代码B.7物理入口控制B.8日志文件评审B.9定期维护管理B.10第三方协议中的安全相关的过程和控制措施（GB/T22080-2008中测量构造示例名称相关的测量构造示的章节或附录A中的控制措施编号）例（本附录引用）

4.

2.2h B.

4.1信息安全事件管理的有效性

5.

2.2d B.

1.1已完成ISMS培训的人员

8.2B.

4.2纠正措施的执行情况控制措施A.

6.

1.8B.3ISMS评审过程控制措施A.

6.

1.1和A.

6.

1.2B.5管理承诺控制措施A.

6.

2.3B.10第三方协议中的安全控制措施A.

8.

2.和A.

8.

2.2B.

1.2信息安全培训控制措施A.

8.

2.和A.

8.

2.2B.

1.3信息安全意识符合性本标准照GB/T

1.『2009给出的规则起草本标准使用翻译法等同采用国际标准ISO/IEC27004:2009《信息技术安全技术信息安全管理测量》英文版根据国情和GB/T

1.1的规定，做了一些编辑性修改本标准由全国信息安全标准化技术委员会SAC/TC260提出并归口本标准起草单位中国电子技术标准化研究院、山东省计算中心、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、北京信息安全测评中心本标准主耍起草人上官晓丽、周鸣乐、李刚、许玉娜、顾卫东、闵京华、赵章界、董火民、李旺、史艳华，李敏，张建成，韩庆良控制措施A.

9.

1.2B.7物理入口控制控制措施A.

9.

2.4B.9定期维护管理控制措施A.

10.

4.1B.6防范恶意代码控制措施A.

10.

10.1和A.

10.

10.2B.8日志审查控制措施A.

11.

3.1B.

2.1口令质量-手册控制措施A.

11.

3.1B.

2.2口令质量-自动化培训B.

1.1已完成I SMS培训的人员测量构造识别测量构造名称已完成ISMS培训的人员数字标识符组织特定的测量构造的目的确定控制措施，符合组织信息安全策略控制/过程目标

5.

2.2GB/T22080-2008培训、意识和能力

5.

2.

2.d（GB/T22080-2008）培训、意识和能力控制措施

（1）/过程

（1）组织应通过d）保持教育、培训、技能、经历和资格的记录，确保所有被赋予ISMS职责的人员具有执行所要求任务的能力可选如适用（已计划或实施的），在同一测度的控制措施/过程集内进一控制措施

（2）/过程

（2）步的控制措施/过程测量对象及其属性测量对象员工数据库属性培训记录基本测度说明

（1）根据ISMS年度培训计划，已接受ISMS培训的员工数量必须接受ISMS培基本测度训的员工数量测量方法统计ISMS培训日志/登记簿上写为“已接受”的员工数量测量方法类型客观类标度个数标度类型比率标度测量单位员工导出测度说明导出测度已完成ISMS培训的人员百分比测量函数已接受ISMS培训的员工数量/必须接受ISMS培训的员工数量*100o指标说明用颜色标识的颜色代码描绘与分析模型定义的阈值（红、黄、绿）有关的指标多个报告周期的符合性的柱状图图表使用的报告周期的数量宜由组织定义0-60%——红色；60-90%——黄色；90-100%——绿色对于黄色，如果每分析模型季度没有达到至少10%的进展，等级自动变为红色决策准则说明红色一一要求干预，必须进行原因分析，以确定不符合和执行情况较差的原因决策准则黄色一一可能变为红色，宜密切关注指标绿色一一不需要采取行动测量结果指标解释组织特定的基于决策准则的有颜色代码条的柱状图简短总结哪些测量工具和可能的管报告格式理活动宜附在柱状图上利益相关者测量委托人负责ISMS的管理者测量评审人负责ISMS的管理者信息责任人培训管理者-人力资源信息收集人培训管理者-人力资源部门信息沟通人负责ISMS的管理者频率/周期数据收集频率每月，当月的第一个工作日数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期每年B.

1.2信息安全培训测量构造识别测量构造名称信息安全培训数字标识符组织特定的测量构造的目的评价年度信息安全意识培训要求的符合性A.

8.2任用中目标确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害控制/过程目标关系、他们的职责和义务，并准备好在其正常工作过程中支持组织的安全策略，以减少人为出错的风险A.

8.

2.2（GB/T22080-2008）信息安全意识、教育和培训控制措施

（1）/过程

（1）组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训测量对象及其属性测量对象员工数据库属性培训记录基本测度说明

（1）已接受年度信息安全意识培训的的员工数量需要接受年度信息安全意识培基本测度训的员工数量测量方法统计年度信息安全意识培训日志/登记簿上写为“已接受”的员工数量测量方法类型客观类标度个数标度类型比率标度测量单位员工导出测度说明导出测度已接受年度信息安全意识培训的的人员百分比已接受年度信息安全意识培训的员工数量/必须接受年度信息安全意识培训测量函数的员工数量*100o指标说明描绘与分析模型定义的阈值（红、黄、绿）有关的多个报告周期的符合性的指标柱状图图表使用的报告周期的数量宜由组织定义0-60%——红色；60-90%——黄色；90-100%——绿色对于黄色，如果每分析模型季度没有达到至少10%的进展，等级自动变为红色决策准则说明红色一一要求干预，必须进行原因分析，以确定不符合和执行情况较差的原因决策准则黄色一一可能变为红色，宜密切关注指标绿色一一不需要采取行动测量结果指标解释组织特定的基于决策准则的有颜色代码条的柱状图简短总结哪些测量工具和可能的管报告格式理活动宜附在柱状图上利益相关者测量委托人负责ISMS的管理者、安全管理者、培训管理者测量评审人安全管理者信息责任人信息安全部门人员和培训管理者信息收集人培训管理者-人力资源部门信息沟通人负责ISMS的管理者频率/周期数据收集频率每月，当月的第一个工作日数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期每年信息安全意识符合性测量构造识别测量构造名称信息安全意识策略符合性数字标识符组织特定的测量构造的目的评估相关人员对组织安全意识策略的符合状况A.

8.2任用中确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、控制/过程目标他们的职责和义务，并准备好在其正常工作过程中支持组织的安全策略，以减少人为出错的风险A.

8.

2.2组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训控制措施

（1）/过程

（1）（实施）所有ISMS相关人员在被授权访问一个信息系统前必须接受信息安全意识培训培训包括A.

8.

2.1管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力控制措施

（2）/过程

（2）（实施）与ISMS相关的所有人员在被授权访问一个信息系统前必须签署用户协议测量对象及其属性

1.1信息安全意识培训计划/时间表L2已完成或正在培训的人员测量对象

2.1签署用户协议的计划/时间表

2.2已签署协议的人员

1.1计划中确定参加培训的人员

1.2人员的培训状况属性

2.1计划中确定签署协议人员

2.2人员签署协议的状况基本测度说明

1.1迄今为止按计划要参加培训的人数

1.2已签署协议的人数基本测度

2.1迄今为止计划签署协议的人数

2.2迄今为止已签署协议的人数

1.1统计计划中迄今为止要完成签署协议和培训的人数

1.2向责任人索取已完成培训和签署协议人员的百分比测量方法

2.1统计计划中迄今要签署协议的人数

2.2统计已签署用户协议的人数

1.

1.客观类

1.

2.主观类测量方法类型

2.

1.客观类

3.

2.客观类标度LL从0到无穷大的整数

1.

2.从0到100的整数

2.

1.从0到无穷大的整数

2.

2.从0到无穷大的整数L L顺序标度

1.

2.比率标度标度类型

2.

1.顺序标度

2.2,顺序标度L

1.人员

1.

2.百分率测量单位

2.

1.人员

2.

2.人员导出测度说明L迄今为止培训的进展导出测度

2.迄今为止协议签署的进展L将迄今为止所有已签署协议人员完成培训的百分比相加测量函数

2.迄今为止已签署协议的人员除以迄今为止计划签署协议的人员指标说明指标a）表示为比率组合的状况b）趋势分析模型a）迄今为止培训的进展除以迄今为止按计划要培训的人员，再乘以100；以及迄今为止协议签署的进展b）把现状和之前的状况相比较决策准则说明a）结果比率宜分别在

0.9与

1.1之间、

0.99与

1.01之间，以推断控制目决策准则标得以实现及不需要采取行动；b）趋势宜向上或稳定测量结果指标a）的解释宜包括以下方面当

0.9W第一个比率W

1.1且

0.99W第二个比率WL01时，表明符合组织安全意识策略的组织准则已得到充分满足；对应标准字体；当［第一个比率＜

0.9或第一个比率＞

1.1］且

0.99W第二个比率W

1.01时，组织准则未得到充分满足；对应斜体；当第二个比率V

0.99或第二个比率＞

1.01时，组织准则未得到满足；指标解释对应黑体指标b）的解释宜包括以下方面上升趋势表明安全意识策略符合情况已改善，下降趋势表明情况恶化趋势变化的程度可提供对控制措施实施有效性的深入了解各趋势的明显变化指明控制措施实施要求进一步考察以确定原因消极趋势可要求管理干预积极趋势宜进行考察，以识别潜在的最佳实践报告格式标准字体二准则已得到充分满足斜体二准则未得到充分满足黑体二准则未得到满足利益相关者测量委托人负责ISMS的管理者、安全管理者、培训管理者测量评审人安全管理者信息责任人信息安全部门人员和培训管理者信息收集人培训管理者-人力资源部门信息沟通人负责ISMS的管理者频率/周期数据收集频率每月，当月的第一个工作日数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期每年口令策略B.

1.4口令质量一手册测量构造识别测量构造名称口令质量数字标识符组织特定的测量构造的目的评估用户用来访问组织的IT系统的口令质量控制/过程目标防止用户选择不安全的口令A.

11.

3.1应要求用户在选择和使用口令时，遵循良好的安全习惯实施所有用户必须为每个系统选择强口令，这些口令1长度大于8；控制措施1/过程12不是基于任何他人能轻易猜测或获取使用人的相关信息，如姓名、电话号码和出生日期等3不是由词典内的词组成；4不是连贯相同的、全数字或全字母的字符组织的IT系统的所有用户账号和口令必须由员工系统控制测量对象及其属性测量对象用户口令数据库属性个人口令基本测度说明1已注册口令的数量基本测度2每个用户满足组织的口令策略的口令数量

1.统计用户口令数据库中的口令数量测量方法

2.求每个用户满足组织的口令策略的口令数量1客观类测量方法类型2主观类1从0到无穷大的整数标度2从0到无穷大的整数1顺序标度标度类型2顺序标度1口令测量单位2口令导出测度说明导出测度符合组织的口令质量策略的口令总数测量函数每个用户符合组织的口令质量策略的口令总数之和指标说明a）满足组织的口令质量策略的口令比率b）关于口令质量策略的符合状况趋指标势a）（符合组织的口令质量策略的口令总数）除以（已注册的口令数量）b）分析模型把比率与之前的比率相比较决策准则说明如果结果比率大于

0.9,已实现控制目标，并不需要采取任何行动如果结决策准则果比率在

0.8和

0.9之间，未实现控制目标，但向上趋势表明有改进如果结果比率小于

0.8,宜立即采取行动测量结果指标a）的解释宜包括以下方面比率〉

0.9时，符合组织口令策略的组织准则得到充分满足

0.8W比率＜

0.9时，符合组织口令策略的组织准则未得到充分满足比率V

0.8时，符合组织口令策略的组织准则未得到满足指标b）的解释宜包括以下方面上升趋势表明符合情况已改善，下降趋势表明符合情况恶化指标解释趋势变化的程度可提供对已实施的控制措施的有效性的深入了解消极趋势可要求进一步的控制措施，例如意识，或选择强口令或修改之前的口令的技术工具积极趋势宜进行考察，以从当前比率估计满足口令策略的必要条件不满足准则的影响是增加了泄密的风险偏差的潜在原因包括安全意识的缺乏、技术实施的缺陷，以及实施所有IT系统所需时间的缺乏把描绘符合组织的口令质量策略的口令数量的趋势线，与前一报告提父时间报告格式段期间产生的趋势线进行叠加利益相关者测量委托人负责ISMS的管理者、安全管理者测量评审人安全管理者信息责任人系统管理员信息收集人安全人员信息沟通人安全人员频率/周期数据收集频率每年数据分析频率每年测量结果报告频率每年测量修订每年评审、更新一次测量周期每年B.

1.5口令质量一自动化测量构造识别测量构造名称口令质量数字标识符组织特定的测量构造的目的评估用户用来访问组织的IT系统的口令质量控制/过程目标防止用户选择不安全的口令A.

11.

3.1应要求用户在选择和使用口令时，遵循良好的安全习惯实施所有用户必须为每个系统选择强口令，这些口令1）长度大于8；2）不是基于任何他人能轻易猜测或获取使用人的相关信息，如姓名、控制措施

（1）/过程

（1）电话号码和出生日期等3）不是由词典内的词组成；4）不是连贯相同的、全数字或全字母的字符组织的IT系统的所有用户账号和口令必须由员工系统控制必须使用口令破解软件检查口令的强韧性测量对象及其属性测量对象员工系统账户数据库属性存储在员工系统账户记录中的个人口令基本测度说明

（1）1口令总数基本测度2不能破译的口令总数1运行查询员工账户记录测量方法2采用混合攻击的方式，对员工系统账户记录进行口令破解1客观类测量方法类型2客观类1从0到无穷大的整数标度2从0到无穷大的整数1顺序标度标度类型2顺序标度1口令测量单位2口令导出测度说明导出测度无测量函数无指标说明1在4小时内可破译口令的比率指标2比率1的趋势分析模型a）不能破译的口令总数除以口令总数b）把比率与之前的比率进行比较决策准则说明如果结果比率大于

0.9,已实现控制目标，并不需要采取任何行动如果结决策准则果比率在

0.8和

0.9之间，未实现控制目标，但向上趋势表明有改进如果结果比率小于

0.8,宜立即采取行动测量结果指标1的解释宜包括以下方面比率＞

0.9时、符合组织口令策略的组织准则得到充分满足

0.8W比率＜

0.9时，符合组织口令策略的组织准则未得到充分满足比率V

0.8时，符合组织口令策略的组织准则未得到满足指标2的解释宜包括以下方面上升趋势表明符合情况已改善，下降趋势表明符合情况恶化指标解释趋势变化的程度可提供已实施的控制措施的有效性的深入了解消极趋势可要求进一步的控制措施，例如意识，或选择强口令或修改之前的口令的技术工具积极趋势宜进行考察，以从当前比率估计满足口令策略的必要条件不满足准则的影响是增加了口令妥协的风险，可导致未授权的系统访问偏差的潜在原因包括安全意识的缺乏、技术实施的缺陷，以及实施所有IT系统所需时间的缺乏把描绘已测试的所有记录的口令可破解性的趋势线，与前一测试期间产生的报告格式趋势线进行叠加利益相关者测量委托人负责ISMS的管理者、安全管理者测量评审人安全管理者信息责任人系统管理员信息收集人安全人员信息沟通人安全人员

0.1总则信息安全管理体系标准族Information SecurityManagement System,简称ISMS标准族是国际信息安全技术标准化组织ISO/IEC JTC1SC27制定的信息安全管理体系系列国际标准ISMS标准族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息诸如,财务信息、知识产权、员工详细资料，或者受客户或第三方委托的信息的ISMS的独立评估做准备ISMS标准族包括的标准a定义了ISMS的要求及其认证机构的要求；b提供了对整个“规划-实施-检查-处置”PDCA过程和要求的直接支持、详细指南和或解释；c阐述了特定行业的ISMS指南；d阐述了ISMS的一致性评估目前，ISMS标准族由下列标准组成——GB/T AAAAA-AAAA信息技术安全技术信息安全管理体系概述和词汇ISO/IEC27000:2009信息技术安全技术信息安全管理体系要求ISO/IEC27001:2005信息GB/T22080—2008信息技术安全技术安全管理实用规则ISO/IEC27002:2005信息安全GB/T22081—2008信息技术安全技术管理体系实施指南ISO/IEC27003:2010GB/T BBBBB—BBBB本标准信息技术安全技术信息安全管理测量ISO/IEC27004:2009GB/T DDDDD—DDDD信息技术安全技术信息安全风险管理ISO/IEC27005:2008GB/T25067—2010信息技术安全技术信息安全管理体系审核认证机构的要求ISO/IEC27006:2007ISO/IEC27007:2011信息技术安全技术信息安全管理体系审核指南ISO/IEC27010:2012信息技术安全技术行业间及组织间通信的信息安全管理ISO/IEC27011:2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南信息技术安全技术ISO/IEC27001和ISO/IEC20000T集成实施指南ISO/IEC27013:2012信息技术安全技术信息安全治理ISO/IEC27014:201xISO/IEC TR27008:2011信息技术安全技术信息安全控制措施审核员指南ISO/IEC TR27015:2012信息技术安全技术金融服务信息安全管理指南为了评估按照GB/T22080-2008规定的已实施的信息安全管理体系Information SecurityManagementSystem,简称ISMS和控制措施或控制措施组的有效性，本标准提供了如何编制测度和测量以及如何使用的指南为了有助于决定ISMS过程或控制措施是否需要改变或改进，本标准涉及方针策略、信息安全风险管理、控制目标、控制措施、过程和规程，并且支持其校验过程切记任何控制措施的测量都不能保证绝对安全本标准的实施形成了信息安全测量方案信息安全测量方案将有助于管理者识别和评价不相容的、无效的ISMS过程和控制措施，并优化改进或改变这些过程和或控制的活动它也可有助于组织证明GB/T22080-2008的符合性，并提供管理评审和信息安全风险管理过程的额外证据本标准假设制定测度和测量的出发点是按照GB/T22080-2008要求充分掌握了组织所面临的信息频率/周期数据收集频率每周数据分析频率每周测量结果报告频率每周测量修订每年评审、更新一次测量周期适用3年I SMS评审过程测量构造识别测量构造名称TSMS评审过程数字标识符组织特定的测量构造的目的评估信息安全的独立评审的完成程度控制/过程目标在组织内管理信息安全组织管理信息安全的方法及其实施（即信息安全的控制目标、控制措施、策略、过程和规程）应按计划的时间间隔进行独立评审当安全实施发生重大变化时，也要进行独立评审控制措施

（1）/过程

（1）（实施）组织管理信息安全的方法及其实施由第三方安全顾问每季度评审测量对象及其属性1•第三方评审报告测量对象

2.第三方评审计划

1.已报告的第三方评审属性

2.已计划的第三方评审基本测度说明1第三方已组织评审的数量基本测度2已计划第三方评审的总数1统计第三方已组织定期评审的报告数量测量方法2统计已计划第三方评审的数量1客观类测量方法类型2客观类1从0到无穷大的整数标度2从0到无穷大的整数1顺序标度标度类型2顺序标度测量单位1评审2评审导出测度说明导出测度无测量函数无指标说明指标已完成独立评审的进度比率分析模型第三方已组织评审的数量除以已计划第三方评审的总数决策准则说明指标的结果比率宜在

0.8和

1.1之间，以推断控制目标的成效和不需要采取决策准则行动如果不满足之前的条件，比率宜大于

0.6测量结果指标的解释宜包括以下方面

0.8W比率（

1.1时，第三方评审的组织内管理信息安全的组织准则已得到充分满足

0.6＜比率＜

0.8或比率＞

1.1时，组织准则未得到充分满足要求进行监视，以确保取得适当进展0W比率V

0.6时，组织准则未得到满足要求立即干预，以确保取得适指标解释当进展如果在第二季度结束时指标不令人满意，需要采取纠正措施，并宜与负责ISMS的管理者沟通纠正措施如果在年终时指标不令人:前意，必须告知高级管理者，并请求他们的支持不满足准则的影响是无效的管理评审过程偏差的可能原因包括低预算、不正确的规划，以及关键人员/管理者承诺的缺乏报告格式描绘与决策准则定义的阈值有关的、多个报告周期符合情况的柱状图利益相关者测量委托人负责ISMS的管理者、质量系统管理者测量评审人负责ISMS的管理者信息责任人负责ISMS的管理者信息收集人内部审计、质量管理者信息沟通人内部审计、质量管理者、负责ISMS的管理者频率/周期数据收集频率每季度数据分析频率每季度测量结果报告频率每季度测量修订每2年评审、更新一次测量周期适用2年ISMS持续改进信息安全事件管理的有效性测量构造识别测量构造名称信息安全事件管理的有效性数字标识符组织特定的测量构造的目的评估信息安全事件管理的有效性控制/过程目标能够及时发觉安全事故并响应安全事件控制措施

（1）/过程

（1）

4.

2.2h GB/T22080-2008测量对象及其属性测量对象ISMS属性单个事件基本测度说明基本测度之前规定的阈值数量测量方法统计数据报告的信息安全事件的发生率测量方法类型客观类标度个数标度类型顺序标度测量单位事件导出测度说明导出测度超过阈值的事件测量函数把所有事件的数量与阈值相比较指标说明描绘说明在多个报告提交时间段上违反事件总数的阈值数的不断的水平线指标的折线图当事件总数超过阈值（过了线）时，为红色；分析模型当事件总数在阈值的10%以内时，为黄色；当事件总数低于阈值的10%或10%以卜.时，为绿色决策准则说明红色-要求立即调查增加事件数量的原因决策准则黄色-需要密切监视数量，如果数量没有改进，宜开始调查绿色-不需要采取行动测量结果如果在两个报告周期内看到红色，要求进行事件管理规程评审，以纠正现行指标解释规程或确定附加规程如果在接下来两个报告提交时间段内不能扭转趋势，要求采取纠正措施，例如建议扩大ISMS范围报告格式折线图利益相关者测量委托人ISMS管理委员会、负责ISMS的管理者、安全管理者、事件管理者测量评审人负责ISMS的管理者信息责任人负责ISMS的管理者信息收集人事件管理的管理者信息沟通人ISMS管理委员会频率/周期数据收集频率每月数据分析频率每月测量结果报告频率每月测量修订6个月测量周期每月纠正措施的实施测量构造识别测量构造名称纠正措施的实施数字标识符组织特定的测量构造的目的评估纠正措施实施的执行情况

8.2（GB/T22080-2008）纠正措施控制/过程目标组织应采取措施，消除与ISMS要求不符合的原因，以防止再发生形成文件的纠正措施规程，应规定以下方面的要求a）识别不符合；b）确定不符合的原因；c）评价确保不符合不再发生的措施需求；d）确定和实施所需要的纠正措施；控制措施

（1）/过程

（1）e）记录所采取措施的结果（见

4.

3.3）；f）评审所采取的纠正措施（已实施）组织确定要求的纠正措施，并发布记载有关不符合的信息的纠正措施报告、其原因，以及采取的纠正措施到期日收到报告后，负责检测不符合方面的管理者被要求确保没有不合理的延迟所采取的措施，以消除不符合及其原因如果按要求不实施纠正措施，必须识别不实施的原因，问时确定适当地替代原来的纠正措施所采取的带有相应日期和结果的措施宜形成文件如果不按计划实施纠正措施，原因和替代措施必须形成文件宜向信息安全管理者提供报告测量对象及其属性测量对象纠正措施报告报告内纠正措施到期日属性报告记录内已采取纠正措施的日期延迟和不采取措施的原因基本测度说明

1.迄今为止已计划的纠正措施数量

2.迄今为止按计划已实施的纠正措施数量基本测度

3.迄今为止有原因不实施的纠正措施数量

1.统计迄今为止按计划已实施的纠正措施数量

2.统计到截止日期为止按已实施记录的纠正措施数量测量方法

3.统计有原因已计划不采取的纠正措施数量测量方法类型1-3客观类标度1-3从0到无穷大的整数标度类型1-3顺序标度测量单位1-3纠正措施导出测度说明a）迄今为止不实施的纠正措施导出测度b）没有合理原因不实施的纠正措施a）（迄今为止已计划的纠正措施）减去（迄今为止按计划采取的纠正措施）测量函数b）（迄今为止有原因已计划不采取的纠正措施）减去（迄今为止不实施的纠正措施）指标说明指标a）表示不实施的纠正措施的比率的状况b）表示没有原因不实施的纠正措施的比率状况的趋势a）（迄今为止不实施的纠正措施）除以（迄今为止已计划的纠正措施）b）分析模型（没有原因不实施的纠正措施）除以（迄今为止已计划的纠正措施）c）把状况与之前的状况相比较决策准则说明为了推断出目标完成、不采取措施，指标a）和b）宜分别在

0.4和

0.

0、决策准则

0.2和

0.0之间，而且指标c）的趋势宜在最后2个报告时间段下降指标c）宜与之前的指标进行比较以便能调查纠正措施实施的趋势测量结果指标a）和b）的解释宜包括以下方面必须实施已计划的纠正措施，除非组织的优先事项已经改变，导致需要实施不同的纠正措施或分配给纠正措施实施的资源重定向如果不管原因，纠正措施40%以上没有被实施，要求采取管理措施如果没有很好的理由，20%以上纠正措施未被实施，要求采取管理措施宜调查没有实施的纠正措施，以识别不实施的原因根据不实施的总百分比和原因，可要求采取进一步的措施指标解释指标c）的解释宜包括以下方面因为任何表现的整体恶化或表现显著改善，宜调查纠正措施实施的趋势如果在最后2个报告时间段已实施的纠正措施的比例已稳步下降，不管不符合的原因荡然无存，要求采取管理措施不满足准则的影响是IMS持续改进的潜在缺乏潜在原因可包括资源缺乏、不正确的计划，以及关键人员和管理承诺的缺乏用测量结果的陈述堆积的条形图，包括调查结果的执行概要和可能的管理措报告格式施，描述纠正措施的总数，分成已实施的、无合理的理由不实施的，以及有合理的理由不实施的利益相关者测量委托人负责ISMS的管理者、信息安全管理者测量评审人负责ISMS的管理者信息责任人负责ISMS的管理者信息收集人负责ISMS的管理者信息沟通人负责ISMS的管理者频率/周期数据收集频率每季度数据分析频率每季度测量结果报告频率每季度测量修订每年评审一次测量周期适用1年管理承诺测量构造识别测量构造名称管理评审频率数字标识符组织特定的测量构造的目的评价与管理评审活动有关的管理承诺和信息安全评审活动A.

6.1管理（已计划的）组织范围内的信息安全控制/过程目标管理组织范围内的信息安全，通过规范地执行管理评审信息安全管理的管理承诺应通过清晰的说明、可证实的承诺、明确的分配及（已实施的）信息安全确认，积极支持组织内的安全组织必须每月召开管控制措施

（1）/过程

（1）理评审会，通过清晰的说明、可证实的承诺、明确的分配及信息安全确认，以支持组织内的安全ISMS管理评审宜结合QMS管理评审信息安全活动应由组织不同部门并具备相关角色和工作职责的代表进行协调控制措施

（2）/过程

（2）（已实施的）.具备相关角色的不同部门的代表宜协调和参加管理评审测量对象及其属性

1.信息安全管理评审计戈V时间表测量对象

2.管理评审会议记录

1.1定于本计划内的管理评审会日期

1.2计划参加管理评审会的管理者属性

1.1记录在会议纪要的管理评审会日期

2.2作为已参加过管理评审会而被记录的管理者基本测度说明

1.1迄今为止已计划的管理评审会的数量

1.2计划参加管理评审会的管理者数量迄今为止按计划已召开的管理评审会的数量基本测度

2.

1.2迄今为止计划外已召开的管理评审会的数量迄今为止已重新安排、召开的管理评审会的数量

2.3迄今为止已参加过管理评审会的管理者数量

1.1统计迄今为止已安排的管理评审会

1.2迄今为止每个管理评审会，统计计划出席的管理人，并增加通过特别的方式完成计划外会议的默认值的新入口测量方法

2.

1.1统计到目前为止按计划召开的管理评审会

2.

1.2统计到目前为止计划外召开的管理评审会

2.

1.3到目前为止重新安排召开的管理评审会

2.2统计所有已召开的管理评审会出席的管理人的数量

1.1客观类1・2客观类或主观类

2.

1.1客观类测量方法类型

2.

1.2客观类

2.

1.3客观类

2.2客观类从0到无穷大的整数

1.2从0到无穷大的整数从0到无穷大的整数标度从0到无穷大的整数

2.

1.3从0到无穷大的整数

2.2从0到无穷大的整数

1.1顺序标度

1.2顺序标度顺序标度标度类型

2.

1.2顺序标度

2.

1.3顺序标度

2.2顺序标度测量单位会议L2人员

2.

1.1会议

2.

1.2会议

2.

1.3会议

2.2人员导出测度说明a）到目前为止已召开的管理评审会的数量导出测度b）到目前为止已召开的管理评审会的参与率a）把（到目前为止已计划的管理评审会的数量）、（到目前为止计划外的管测量函数理评审会的数量）和（到目前为止已重新安排的管理评审会的数量）相加b）对于每次管理评审会，（已参加过管理评审会的管理人的数量）除以（已安排参加管理评审会的管理人的数量）指标说明a）到目前为止已结束的管理评审会指标b）到目前为止管理评审会的平均参与率分析模型a）（己完成的管理评审会）除以（已安排的管理评审会）b）计算管理评审会的所有参与率的平均值和标准偏差决策准则说明指标a）的结果比率宜在

0.7和

1.1之间，以推断控制目标的成效和不需要采取行动即使不满足，比率宜大于

0.5,以推断最小成效决策准则关于指标b）,基于标准偏差计算的置信界限表明接近平均参与率的实际结果将会被实现的可能性很宽的置信界限暗示一个潜在地巨大背离和对处理这个结果的应急计划的需要测量结果指标a）的解释宜包括以下方面当

0.7W比率WL1时，在组织彻底的管理评审内管理信息安全的组织准则已得到充分满足；当

0.5〈比率＜

0.7或比率＞

1.1时，组织准则未得到充分满足这个结果可表明可能缺乏管理承诺，并可要求纠正措施随后的测量结果宜被监视和评价指标解释0W比率〈

0.5时，组织准则未得到满足这个结果表明缺少管理承诺，并要求立即干预，以实施一个适当的纠正措施高层管理者宜被告知结果比率接近0,可表明缺少高层管理承诺如果ISMS管理者不优先考虑ISMS管理评审，他们可被高层管理者影响不满足准则的影响是持续和有效的管理评审过程的潜在缺乏在指标b）内偏差的潜在原因可能包括不正确的计划、负责ISMS的管理者不足的承诺、优先级冲突和（或）劳累过度影响ISMS管理者折线图，描绘与关于几个数据收集的准则一起的指标和与测量结果声明一起报告格式的报告提交时间段数据收集数量和报告提交时间段宜被组织限定利益相关者测量委托人负责ISMS的管理者、质量系统管理者测量评审人ISMS内部审核方案的专家质量系统管理者信息责任人承担QMS和ISMS综合管理系统者信息收集人质量管理者、信息安全管理者信息沟通人信息安全管理者、质量管理者频率/周期数据收集频率每月数据分析频率每季度测量结果报告频率每季度测量修订每2年评审、更新一次测量周期适用2年防范恶意代码测量构造识别测量构造名称防范恶意软件数字标识符组织特定的测量构造的目的评估防范恶意软件攻击的系统的有效性控制目标A.

10.4（GB/T22080-2008）保护软件和信息的完整性（已计控制/过程目标划的）保护软件和信息的完整性，使其不受恶意软件攻击控制措施

10.

4.1（GB/T22080-2008）控制恶意代码控制措施

（1）/过程

（1）应实施恶意代码的检测、预防和恢复的控制措施，以及适当的提高用户安全意识的规程测量对象及其属性1事件报告测量对象2恶意软件的对策软件的日志属性恶意软件产生的事件基本测度说明

1.恶意软件造成的安全事件数量基本测度

2.恶意软件造成的阻止攻击1统计事件报告中恶意软件造成的安全事件数量测量方法2统计阻止攻击的记录数量

1.客观类测量方法类型

2.客观类L从0到无穷大的整数标度

2.从0到无穷大的整数L顺序标度标度类型

2.顺序标度

1.安全事件测量单位

2.记录导出测度说明导出测度恶意软件防范力度测量函数恶意软件造成的安全事件数量/恶意软件造成的检测和阻止攻击的数量指标说明指标在多个报告提交时间段没有被阻止的已检测到的攻击的趋势分析模型把比率与之前的百分比相比较决策准则说明安全风险，并假设已经正确实施了组织的风险评估活动（即基于GB/TDDDDD—DDDD）信息安全测量方案将鼓励组织向利益相关者提供可靠的关于信息安全风险和管理这些风险已实施的ISMS的状况的信息通过有效地实施信息安全测量方案，将提高利益相关者对测量结果的信任，并能使其利用这些测度实现对信息安全和ISMS的持续改进累积的测量结果将允许把一段时间内实现信息安全目标的进展当作组织的ISMS持续改进过程的一部分

0.2管理概述GB/T22080-2008要求组织“在考虑有效性测量结果的基础上，进行ISMS有效性的定期评审并且“测量控制措施的有效性，以验证安全要求是否得到满足GB/T22080-2008也要求组织“确定如何测量已选控制措施或控制措施组的有效性，并指明如何用这些测量措施来评估控制措施的有效性，以产生可比较的和可再现的结果”组织用以满足GB/T22080-2008规定的测量要求所采用的方法，将基于一些重要因素而变化，包括组织所面临的信息安全风险、组织规模、可用的资源、适用的法律法规、规章和合同要求为了防止过多的资源被用于ISMS的一些活动而损害其他活动，慎重选择和证明用于满足测量要求的方法是非常重要的理想情况下，持续的测量活动将把组织的正常运作和最小的额外资源需求结合在一起为满足GB/T22080-2008规定的测量要求，本标准建议基于以下活动a）制定测度（即基本测度，导出测度和指标）；b）实施和运行信息安全测量方案；c）收集和分析数据；d）产生测量结果；e）与利益相关者沟通产生的测量结果；f）将测量结果作为ISMS相关决策的有利因素；g）用测量结果识别已实施的ISMS的改进需要，包括ISMS的范围、策略、目标、控制措施、过程和规程；h）促进信息安全测量方案的持续改进组织规模是影响组织完成测量的能力的因素之一一般来说，业务的规模和复杂性，以及信息安全的重要性，都会影响需要的测量程度，其中测量程度是针对已选的测度数量，以及收集和分析数据的频率来说的对于中小型企业来说，一个不太全面的信息安全测量方案就足够了而对大型企业，则需要实施和运行多个信息安全测量方案单个信息安全测量方案可满足小型组织，而大型企业可能需要多个信息安全测量方案本标准产生的文件，有助于证明正在被测量和评估的控制措施的有效性决策准则趋势线宜保持在规定数量下面结果趋势宜向下或保持不变测量结果向上趋势表明符合性恶化，向下趋势表明符合性得到改进；并且当趋势明显指标解释上升时，宜需要调查原因和进一步的对策空间描绘恶意软件检测和预防的比率的趋势线，以及前一报告提交时间段期间生报告格式成的线利益相关者测量委托人安全管理者测量评审人安全管理者信息责任人系统管理员信息收集人安全管理者、系统管理员、网络管理者信息沟通人服务协调频率/周期数据收集频率每日数据分析频率每月测量结果报告频率每月测量修订每年评审一次测量周期适用1年物理人口控制测量构造识别测量构造名称有准入卡的物理入口控制数字标识符组织特定的测量构造的目的显示用于访问控制的系统的存在、程度和质量控制目标A.

9.1GB/T22080-2008防止对组织场所和信息的未授权物理访控制/过程目标问、损坏和干扰控制措施A.

9.L2GB/T22080-2008物理入口控制控制措施1/过程1安全区域应由适合的入口控制进行保护，以确保只有授权的人员才允许访问测量对象及其属性测量对象安全领域属性身份管理记录基本测度说明基本测度有准入卡的物理入口控制测量方法一种相对测量方法，这种方法中每个低级别是高级别的子集从以下方面控制和检查入口控制系统的类型一门禁一卡通系统的存在；-PIN口令使用；-日志功能；-生物特征鉴别测量方法类型主观类0-50没有门禁系统1有一个门禁系统，使用PIN口令（一个要素系统）来进行入口控制标度2有一个门禁一卡通系统，使用通行卡（一个要素系统）来进行入口控制3有个门禁一卡通系统，使用通彳亍卡和PIN口令来进行入口控制4之前的+己激活的日志功能5之前的+被生物特征鉴别（指纹、声音识别、视网膜扫描等）取代的PIN口令标度类型顺序标度测量单位/导出测度说明导出测度无测量函数无指标说明指标进度条红色一直到

0.8,绿色在

0.8和1之间分析模型测度分析决策准则说明决策准则值3二令人满意的测量结果指标解释低于3,令人不满意（3-实际等级二安全差距），基于安全差距程度采取行动超过3,令人》茜意的、优秀的，级别可表明关于已测量的问题超过投资报告格式图表利益相关者测量委托人管理委员会测量评审人内部审核人/外部审核人信息责任人设备管理者信息收集人内部审核人/外部审核人信息沟通人内部审核人和安全管理者频率/周期数据收集频率每年数据分析频率每年测量结果报告频率每年测量修订12个月测量周期适用12个月日志文件评审测量构造识别测量构造名称日志文件评审数字标识符唯一的组织特定的数字标识符测量构造的目的评估决定性的系统日志文件的定期评审的符合状况控制目标A.

10.10（GB/T22080-2008）检测未经授权的信息处理活动（已控制目标计划的）从系统日志检测决定性的系统的未经授权的信息处理活动控制目标A.

10.

10.2（GB/T22080-2008）应建立信息处理设施的监视使用控制措施

（1）o规程，并经常评审监视活动的结果测量对象及其属性测量对象系统属性单个日志文件基本测度说明

（1）基本测度日志文件数量测量方法把评审日志清单中列出的日志文件总数相加测量方法类型客观类标度从0到无穷大的整数标度类型顺序标度测量单位日志文件基本测度说明

（2）基本测度己评审的日志文件数量测量方法把ISMS范围内的所有系统上的日志文件总数相加测量方法类型客观类标度个数标度类型比率标度测量单位日志文件基本测度说明

（3）基本测度ISMS范围内的系统数量测量方法识别已评审的日志文件的数量测量方法类型客观类标度个数标度类型比率标度测量单位日志文件导出测度说明导出测度每个时间段要求的已评审的审核日志文件的百分比测量函数（规定时间段内已评审的日志文件的数量）/（日志文件的总数）*100指标说明指标贯穿审核日志评审进度内的时间段的趋势线图分析模型上升趋势接近100%是可取的决策准则说明决策准则结果低于20%,宜检查表现较差的原因测量结果低于组织指定值的值是令人不满意的（组织指定值-实际值二安全差距）根指标解释据安全差距程度，要求采取管理措施大于组织指定值的值可表明超出投资，除非这些访问控制机制是按每个风险评估要求的报告格式折线图，描绘调查结果总结和任何已建议的管理措施的趋势利益相关者测量委托人负责ISMS的管理者、安全管理者测量评审人安全管理者信息责任人安全管理者信息收集人安全人员信息沟通人安全人员频率/周期数据收集频率每月数据分析频率每月测量结果报告频率每季度测量修订每2年评审、更新一次测量周期适用2年定期维护管理测量构造识别测量构造名称定期维护管理数字标识符组织特定的测量构造的目的评价时间表内维护活动的及时性控制目标A.

9.2（GB/T22080-2008）防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断控制目标（已计划的）通过定期系统维护，防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断控制目标A.

9.

2.4（GB/T22080-2008）设备应予以正确地维护，以确保其控制措施

（1）持续的可用性和完整性测量对象及其属性1系统维护计划/时间表测量对象2系统维护记录1已计划/安排的系统维护日期属性2已完成的系统维护日期基本测度说明（-4）1已安排的维护日期2已完成维护的日期基本测度3已计划的维护事件的总数4已完成的维护事件的总数1从系统维护计划中获取已安排日期2从系统维护记录中获取已完成日期测量方法3统计系统维护计划内已计划的维护事件的数量4统计维护记录测量方法类型客观类

1.时间

2.时间标度

3.从0到无穷大的整数

4.从0到无穷大的整数1表2表标度类型3顺序标度4顺序标度

1.区间

2.区间测量单位

3.维护事件

4.维护事件导出测度说明导出测度每个已完成的维护事件的维护延迟测量函数对于每个已完成的事件，已安排的维护日期减去实际维护日期指标说明1平均维护延迟2已完成的维护事件的比率指标3平均维护延迟的趋势4已完成的维护事件的比率的趋势1（（每个已完成的维护事件的维护延迟）的总和）除以（己完成的维护事件的数量）分析模型2（已完成的维护事件的数量）除以（已计划的维护事件的数量）3比较在多个时间段内的指标

14.比较在多个时间段内的指标2决策准则说明

1.组织特定的，例如，如果超过3天平均延迟始终显示，需要调查原因

2.已完成的维护事件的比率宜大于

0.

9.决策准则

3.趋势宜稳定或接近

0.

4.趋势宜稳定或向上测量结果指标解释指标有助于衡量设备维护过程的质量折线图，描绘维护延迟的平均偏差，与前一报告提交时间段产生的线、在范报告格式围内的系统数量进行叠加对潜在管理措施的调查结果和建议的解释利益相关者测量委托人负责ISMS的管理者、安全管理者测量评审人安全管理者信息责任人系统管理员信息收集人安全人员信息沟通人安全人员频率/周期数据收集频率每年数据分析频率每年测量结果报告频率每年测量修订每年测量周期每年第三方协议中的安全测量构造识别测量构造名称第三方协议中的安全数字标识符组织特定的测量构造的目的评价处理个人信息处理的第三方协议的安全程度控制目标A.

6.2（GB/T22080-2008）保持组织被外部各方访问、处理、管控制/过程目标理或与外部进行通信的信息和信息处理设施的安全控制目标A.

6.

2.3（GB/T22080-2008）涉及访问、处理或管理组织的信控制措施

（1）/过程

（1）息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求测量对象及其属性测量对象第三方协议属性每个第三方协议内的安全条款或要求基本测度说明

（1）基本测度第三方协议的数量测量方法评审第三方协议，统计协议数量测量方法类型客观类Scale标度从0到无穷大的整数标度类型顺序标度测量单位第三方协议基本测度说明

（2）基本测度第三方协议所要求的标准安全要求的数量测量方法识别必须在每个协议策略内处理的安全要求的数量测量方法类型客观类标度从0到无穷大的整数标度类型顺序标度测量单位要求基本测度说明

（3）基本测度在每个第三方协议内已处理的安全要求的数量测量方法评审第二方协议，统计每个协议内已处理的安全要求数量测量方法类型客观类标度从0到无穷大的整数标度类型顺序标度测量单位要求导出测度说明导出测度在第三方协议中已处理的相关安全要求的平均百分比测量函数（每个协议（已要求的要求数量-已处理的要求数量））的总和/协议数量指标说明1已处理要求的不同标准要求的平均比率指标2比率的趋势1（每个协议（己处理的安全要求总数）-（标准安全要求总数））的总和/分析模型（第三方协议的数量）2与前一指标1相比较决策准则说明1指标1宜大于

0.9o.决策准则2指标2宜保持不变或向上测量结果指标解释本指标提供了对处理安全要求的外包功能的能力的深刻见解描绘在多个报告提交时间段的趋势的折线图调查结果的简短总结和可能的报告格式管理措施利益相关者测量委托人负责ISMS的管理者、安全管理者测量评审人安全管理者信息责任人合同管理办公室信息收集人安全人员信息沟通人安全人员频率/周期数据收集频率每月数据分析频率每季度测量结果报告频率每季度测量修订2年测量周期适用2年参考文献

[1]GB/T19000-2008质量管理体系基础和术语

[2]GB/T22081-2008信息技术安全技术信息安全管理实用规则

[3]ISO/IEC15504-32004信息技术过程评定第三部分评定执行指南

[4]ISO/IEC15939:2007系统和软件工程测量过程

[5]GB/T DDDDD-DDDD信息技术安全技术信息安全风险管理

[6]GB/Z19027-2005GB/T19001-2000的统计技术指南

[7]ISO Guide992007国际计量学词汇基本和通用概念及相关术语（VIM）

[8]NIST SP800-55信息安全执行测量指南，2008年7月

[9]GB/Z20985-2007信息技术安全技术信息安全事件管理目次前言Ill弓【言IV1范围12规范性引用文件13术语和定义14本标准的结构35信息安全测量概述

31.1信息安全测量目标

31.2信息安全测量方案

41.3成功因素

51.4信息安全测量模型56管理职责

116.1概述

116.1资源管理

126.2测量培训、意识和能力127测度和测量的制定

127.1概述

127.1测量范围的定义

127.2信息需要的识别

137.3对象及其属性的选择

137.4测量构造的制定

147.6测量构造的应用

167.7数据收集、分析和报告的建立

167.8测量实施途经和相应文件的建立168测量运行

178.1概述

178.7规程整合

178.8数据收集、存储和验证179数据分析和测量结果报告

189.1概述

189.2分析数据并产生测量结果

189.3沟通测量结果1810信息安全测量方案的评价和改进

1910.1概述

1910.7识别信息安全测量方案的评价准则

1910.8监视、评审和评价信息安全测量方案

2010.4实施改进20附录A（资料性附录）信息安全测量构造模板21附录B（资料性附录）测量构造示例23参考文献52目次前言Ill弓【言IV1范围12规范性引用文件13术语和定义14本标准的结构35信息安全测量概述

31.1信息安全测量目标

31.2信息安全测量方案

41.3成功因素

51.4信息安全测量模型56管理职责

116.1概述

116.1资源管理

126.2测量培训、意识和能力127测度和测量的制定

127.1概述

127.1测量范围的定义

127.2信息需要的识别

137.3对象及其属性的选择

137.4测量构造的制定

147.6测量构造的应用

167.7数据收集、分析和报告的建立

167.8测量实施途经和相应文件的建立168测量运行

178.1概述

178.7规程整合

178.8数据收集、存储和验证179数据分析和测量结果报告

189.1概述

189.2分析数据并产生测量结果

189.3沟通测量结果1810信息安全测量方案的评价和改进

1910.1概述

1910.7识别信息安全测量方案的评价准则

1910.8监视、评审和评价信息安全测量方案

2010.4实施改进20附录A（资料性附录）信息安全测量构造模板21附录B（资料性附录）测量构造示例23参考文献52信息技术安全技术信息安全管理测量1范围为了评估按照GB/T22080-2008规定的已实施的信息安全管理体系（Information SecurityManagementSystem,简称ISMS）和控制措施或控制措施组的有效性，本标准提供了如何编制测度和测量以及如何使用的指南本标准适用于各种类型和规模的组织2规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T AAAAA-AAAA信息技术安全技术信息安全管理体系概述和词汇GB/T22080-2008信息技术安全技术信息安全管理体系要求3术语和定义GB/T AAAAA-AAAA中界定的以及下列术语和定义适用于本文件

3.1分析模型analytical modeI将一个或多个基本和/或导出测度关联到决策准则的算法或计算[GB/T20917-2007]

3.2属性attribute可由人或自动化工具定量或定性辨别的对象特征或特性[GB/T20917-2007]

3.3基本测度base measure用某个属性及其量化方法定义的测度[GB/T20917-2007]注一个基本测度在功能上独立于其它测度数据data赋予基本测度、导出测度和（或）指标的值的集合[GB/T20917-2007]决策准则deci sion criter ia用于确定是否需要行动或进一步调查的，或者用于描述给定结果置信度的阈值、目标性能或模式[GB/T20917-2007]导出测度der ived measure定义为两个或两个以上基本测度的函数的测度[GB/T20917-2007]指标i ndi cator为由规定信息需要的相关分析模型导出的指定属性提供估算或评价的测度信息需要i nformati onneed针对目标、目的、风险和问题的管理，所表达的必要见解[GB/T20917-2007]测度measure通过执行一次测量赋予对象属性的数或类别[GB/T20917-2007]注术语“测度”是基本测度、导出测度和指标的统称例如，测量出的缺陷率与规划的缺陷率之间的比较，其差异就与指示一个问题的评估紧密联系在一起

3.10测量measurement使用测量方法、测量函数、分析模型和决策准则来获取有关ISMS和控制措施有效性信息的过程

3.11测]量函数measurement function为组合两个或两个以上基本测度而执行的算法或计算[GB/T20917-2007]

3.12测量方法measurement method一般描述为，用于以指定的标度量化属性的逻辑操作序列[GB/T20917-2007]注测量方法类型取决于用来量化属性的操作本质可分为两种类型主观类一涉及人为判断的量化；客观类一基于数字规则的量化

3.13测量2吉果measurement results处理某信息需要的一个或多个指标及其相应的解释

3.14对象ob ject通过对其属性的测量所表征出来的项

3.15标度sea Ie值的一个有序集合，连续的或离散的；或由属性所映射的一个范畴集合[GB/T20917-2007]注依赖标度值之间关系的本质，标度类型通常定义为以下四种标称型标度一测量值是范畴化的顺序型标度一测量值是序列化的间距型标度一对应该属性等同的量，测量值具有该等同量的距离比率型标度一对应该属性等同的量，测量值具有该等同量的百分比，其中若该值为零，则对应无该属性这些只是标度类型的示例

3.16，则量单位unit ofmeasurement按约定定义和采用的具体量，其它同类量与这个量进行比较，用以表示它们相对于这个量的大小[GB/T20917-2007]

3.17确认va Ii dati on通过提供客观证据对特定的预期用途或应用要求已得到满足的认定

3.18验证ver if icat ion通过提供客观证据对规定要求已得到满足的认定[GB/T19000-2008]注又称为“符合性测试”4本标准的结构为了按照GB/T22080-2008的

4.2要求管理充分和适当的安全控制措施，本标准提供了评估ISMS要求的有效性所需要的测度和测量活动的解释本标准由以下部分构成——信息安全测量方案和信息安全测量模型的概述（第5章）；——信息安全测量的管理职责（第6章）；——信息安全测量方案中实施的测量构造和过程（即计划和制定、实施和运行、改进测量沟通测量结果）（第7-10章）此外，附录A提供了信息安全测量构造的一个示例模板，测量构造的组成部分是信息安全测量模型的元素（见第7章）附录B使用附录A给出的模板，为特定的ISMS控制措施或过程提供了测量构造示例这些示例的目的是帮助组织实施信息安全测量，并记录测量活动和结果5信息安全测量概述

5.1信息安全测量目标在信息安全管理体系的背景下，信息安全测量的目标包括如下几个方面a）评价已实施的控制措施或控制措施组的有效性（见图1中的

4.

2.2d））；b）评价已实施的ISMS的有效性（见图1中的

4.

2.3b））;c）验证满足已识别的安全要求的程度（见图1中的

4.

2.3c））;d）在组织的总体业务风险方面，促进信息安全执行情况的改进；。