CN111666571A - 一种信息安全控制措施的效能分析方法 - Google Patents
一种信息安全控制措施的效能分析方法 Download PDFInfo
- Publication number
- CN111666571A CN111666571A CN202010481723.3A CN202010481723A CN111666571A CN 111666571 A CN111666571 A CN 111666571A CN 202010481723 A CN202010481723 A CN 202010481723A CN 111666571 A CN111666571 A CN 111666571A
- Authority
- CN
- China
- Prior art keywords
- information security
- measurement
- security control
- parameter
- effectiveness
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 30
- 238000005259 measurement Methods 0.000 claims abstract description 54
- 238000000034 method Methods 0.000 claims abstract description 33
- 230000008520 organization Effects 0.000 claims description 11
- 238000010835 comparative analysis Methods 0.000 claims description 2
- 238000013507 mapping Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims 1
- 238000000691 measurement method Methods 0.000 abstract description 4
- 238000012552 review Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种信息安全控制措施的效能分析方法,用于考查信息安全控制措施的落实情况。该方法基于信息安全控制措施的效能分析模型,考察信息安全工作实施过程中使用安全控制措施的效能。该模型包括,根据制定的信息安全控制目标,确定效能分析测量对象集合、测量指标集合、测量方法集合和测量目标值集合;使用测量方法对测量对象的测量指标进行分别测量,记录并计算测量结果、符合性参数和有效性参数;基于符合性参数、有效性参数和措施符合性阈值,通过效能分析模型考察信息安全控制措施的效能。
Description
技术领域
本发明涉及计算机领域,具体涉及一种信息安全控制措施的效能分析方法。
背景技术
随着信息技术的飞速发展,信息安全问题也层出不穷,给信息安全保障能力带来了极大的挑战。如何建设体系化的信息安全管理体系,以及如何评估其采取的相关措施是否有效,是企业在信息化进程中所面临的巨大挑战。依赖于信息安全风险评估来建设信息安全管理框架,开展全面且持续改进的信息安全工作,已成为业界的主流做法。对安全控制措施进行有效性测量和分析,是考察信息安全工作是否达到既定目标的重要手段。
有很多组织在研究和制订相关的信息安全标准,ISO/IEC是信息安全领域最具权威的国际标准化组织。其发布了若干标准,其中ISO27000是建立和实施信息安全管理体系的可靠依据。IEC27000的内容是对该系列标准的详细情况进行说明,包括概况、状态和关系,同时规定了该系列标准的相关术语。而ISO 27001是此系列的主标准,该标准建立风险评估识别信息安全控制措施点,采用PDCA(即Plan Do Check Action)的过程控制方法,在PDCA过程控制中,组织可以通过控制措施点,选择和使用适合的法规和制度,来管理生产运行过程中影响信息安全的风险和因素。
当前,对信息安全管理开展的大多数研究工作,都是基于ISO27001的信息安全管理体系,提出一套适合组织自身业务特点的信息安全管理体系建设方法。然而,关于如何考察信息安全控制措施的落实情况或者效能分析的内容描述较少。而且已有的大多基于证据理论、灰色层次模型等技术来建立对应的信息安全管理度量的数学模型,用于计算相应的风险值,其实施过程较为复杂,缺乏扩展性,难以进行具体操作。
发明内容
一种信息安全控制措施的效能分析方法,是基于信息安全控制目标构建安全控制措施的测量指标,对测量指标及其测量结果进行符合性和有效性分析,从而纠正和改进信息安全控制措施,该方法可以削弱主观因素的影响、提高效能分析结果实用性。该方法的特征主要包括以下步骤:
(1)确定测量对象Oi、效能分析指标Ii和测量目标值Ti,并记录在数据库中:基于PDCA过程模型,结合组织开展信息安全实施过程,信息安全控制措施效能分析包括符合性检查和有效性测量。首先,确定测量对象Oi、效能分析指标Ii和测量目标值Ti,并记录在数据库中;然后,根据不同的效能分析指标Ii,使用对应的方法Fi进行测量,并构建测量结果Ri;其次,基于测量结果Ri与测量目标值Ti进行测量结果与目标值分析得到符合性检查结果ci;再次,基于符合性检查结果ci进行年度间测量结果分析,得到有效性测量结果ui,j;最后,根据业务特点给出阈值φ来表示目标的达到率,并基于符合性ui,j和有效性结果ci,1,判断得出安全控制措施效能分析结果Ei,j,评估安全控制措施的效能。
(2)构建安全控制措施的效能分析指标Ii:组织制定的信息安全控制目标中,明确了控制对象及其控制措施所要达到的期望。在效能分析过程中,控制对象即为测量对象O。测量对象包括信息安全控制的过程、规程、项目和相关资源。依据信息安全需求,将某一个测量对象Oi的属性进行抽象量化并转换为测量指标Ii,将该对象的安全需求期望值转化为测量目标值Ti。按照具体的测量方法Fi,可得出测量结果Ri,式(1)表示了两者之间的映射关系。
Fi(Oi,Ii)=Ri (1)
需要注意的是,由于测量对象Oi的本身特性,其目标值Ti设定以及对应的测量方法Fi也会不同,后面具体实施部分会对几种主要的目标值设定和方法设定进行详细描述。
(3)检查信息安全控制措施的符合性ci:因有些对象Oi可分解出多个测量指标,该对象的第k个测量指标记为则对应的测量目标值为对应的测量结果值为为了检查某一项信息安全工作的符合性ci,需要将该对象的所有测量结果与目标值进行对比分析,可用式(2)来考察信息安全措施的整体偏离程度,则0≤ci≤1。当时,表示信息安全控制措施未达到期望目标,需要进行措施改进来减弱与目标的偏离程度,ci值越小,则改进的执行程度越高。当时,表示信息安全控制措施已经达到甚至超过期望目标。此时,ci值越小,安全控制措施的执行程度与目标偏离程度越大。
(4)测量信息安全控制措施的有效性ui,j:为了便于不同年度的测量结果的比较,第i个对象的第k个测量指标在第j年的测量结果记为符合性记为ci,j。为了考察某一项信息安全工作的在第j年的有效性ui,j,需要分析该年度符合性ci,j与起始年度符合性ci,1的变化趋势,在测量目标值不变的条件下,可用式(3)来考察信息安全措施的有效程度。当ui,j<0时,表示第i项信息安全控制措施在第j年的实施是无效的,削弱了信息安全控制目标的达成;当ui,j>0时,表示第i项信息安全控制措施在第j年是有效的,能够更好地促进安全控制目标的达成。
(5)安全控制措施效能分析结果Ei,j:为方便考察安全控制措施的有效性,组织根据业务特点给出阈值φ来表示目标的达到率。综合符合性ci和有效性ui,j的取值,如式(4)所示,我们可以分析得出信息安全管理框架中第i项信息安全控制措施在第j年的效能结果Ei,j。
附图说明
图1为本发明实施例中信息安全控制措施效能分析实施流程图
图2为信息安全管理体系实施流程图
具体实施方式
本发明引入一种信息安全控制措施效能分析模型,通过符合性参数、有效性参数和业务阈值评估安全控制措施的执行效果,最终用来纠正或加强安全控制措施的落实。本发明提出方法的流程图如图1所示,本部分也将举例说明具体实施方式。
在应用举例前,先对几种主要的目标值设定和对应的方法设定进行描述。目标值主要有二元数值类型、连续数值类型和离散数值类型三类。
1、二元数值类型是指目标值只能在唯一两个值中取一个,比如某项安全检查操作只有执行和未执行两种,执行为1,未执行为0。此类一般目标值T设定为1,对应方法F定义为:执行R为1,未执行R为0。
2、连续数值类型是指数值是一个可连续的,比如为安全检查程序分配内存空间,内存太小导致清理策略调用频繁,影响安全检查效率,而内存太大,出现空间浪费。此类一般目标值T设定为一个最优内存值,对应的方法F就是实际测量。
3、离散数值类型是指数据是离散的,不连贯的,比如某项安全检查的次数,而且检查次数越多,效果越好。对于此类情况,一般对目标值T进行抽象,比如目标值为1,对应测量方法F定义为n为评审次数,可见测量次数越多,结果R越趋近于目标值。
下面以某组织的信息安全工作为效能分析对象来具体阐述本发明方法的有效性和可行性。该组织的信息安全控制目标及其控制措施是依据组织的使命、业务特点来制定,并围绕此来开展信息安全工作。如图2所示,该组织完成信息安全管理体系管理架构设计和组织建设后,结合信息安全业务需求实施基于风险的PDCA过程管理。
组织的信息安全工作已持续开展了5年。“确保员工能够有效知晓信息安全方针、政策内容”是该组织的一个信息安全目标,定义为O1。为落实该目标,信息安全工作管理部门每年都采用抽查方式询问员工的知晓情况且知晓率目标是100%,并要求评审测试次数越多越好。目标落实达到率不得低于60%。以此类推可得出整个组织的测量指标体系,在此给出一个测量指标样例,如表1所示。
表1信息安全方针、策略评估O1
(2)检查安全控制措施的符合性c1,j
根据表1所给的测量方法,不妨给出第1年到第5年的测量结果分别为:R2=(70%,0)、R3=(85%,0)、针对I1,按照本方法,计算得出该信息安全控制措施在第1年到第5年的符合性结果分别为:c1,1=0.69、c1,2=0.35、c1,3=0.43、c1,4=0.68、c1,5=0.79。
(3)测量信息安全控制措施的有效性u1,j
计算可得u1,2<0、u1,3<0、u1,4<0、u1,5>0。
(4)分析每年度的安全控制措施的效能E1,j
通过实践分析,安全控制措施的符合性、有效性的计算结果与观察情况均一致,本发明给出的方法是可行,也是有效的。
Claims (5)
1.一种信息安全控制措施的效能分析方法,如图1所示,其特征在于:
步骤1:确定测量对象Oi,效能分析指标Ii和测量目标值Ti,并记录在数据库中;
步骤2:根据不同的效能分析指标Ii,使用对应的方法Fi进行测量,并构建测量结果Ri;
步骤3:基于测量结果Ri与测量目标值Ti进行测量结果与目标值分析得到符合性检查结果ci;
步骤4:使用ci,j表示测量目标Oi在第j年的符合性检查结果,收集每年的符合性检查结果,进行年度间测量结果分析,得到有效性测量结果uij;
步骤5:根据业务特点给出阈值φ来表示目标的达到率,并基于符合性uij和有效性结果ci,1,判断得出安全控制措施效能分析结果Ei,j,评估安全控制措施的有效性。
2.根据权利要求1所述的构建测量结果Ri,其特征在于:
将某一个测量对象Oi的属性进行抽象量化并转换为效能分析指标Ii,将该对象的安全需求期望值转化为测量目标值Ti。按照具体的测量方法Fi,可得出测量结果Ri,式(1)表示了两者之间的映射关系。
Fi(Oi,Ii)=Ri (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010481723.3A CN111666571A (zh) | 2020-05-29 | 2020-05-29 | 一种信息安全控制措施的效能分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010481723.3A CN111666571A (zh) | 2020-05-29 | 2020-05-29 | 一种信息安全控制措施的效能分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111666571A true CN111666571A (zh) | 2020-09-15 |
Family
ID=72385369
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010481723.3A Pending CN111666571A (zh) | 2020-05-29 | 2020-05-29 | 一种信息安全控制措施的效能分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111666571A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116383856A (zh) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
JP2013195139A (ja) * | 2012-03-16 | 2013-09-30 | Arkray Inc | 分析装置、分析プログラム及び分析方法 |
JP2016062342A (ja) * | 2014-09-18 | 2016-04-25 | ハマゴムエイコム株式会社 | プロジェクト管理システムおよび統合プロセス管理システム |
CN108305011A (zh) * | 2018-02-11 | 2018-07-20 | 中国航天标准化研究所 | 一种正逆结合的航天质量管理体系有效性评价方法 |
CN109685300A (zh) * | 2018-06-28 | 2019-04-26 | 贵州医科大学 | 企业大数据应用能力指标体系及其构建方法 |
CN109726877A (zh) * | 2017-10-27 | 2019-05-07 | 国网北京市电力公司 | 配电网资产全寿命周期管理综合绩效评价指标体系 |
CN110569197A (zh) * | 2019-09-12 | 2019-12-13 | 中国工程物理研究院计算机应用研究所 | 一种用于软件可信性评估的可信证据分析与度量方法 |
-
2020
- 2020-05-29 CN CN202010481723.3A patent/CN111666571A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
JP2013195139A (ja) * | 2012-03-16 | 2013-09-30 | Arkray Inc | 分析装置、分析プログラム及び分析方法 |
JP2016062342A (ja) * | 2014-09-18 | 2016-04-25 | ハマゴムエイコム株式会社 | プロジェクト管理システムおよび統合プロセス管理システム |
CN109726877A (zh) * | 2017-10-27 | 2019-05-07 | 国网北京市电力公司 | 配电网资产全寿命周期管理综合绩效评价指标体系 |
CN108305011A (zh) * | 2018-02-11 | 2018-07-20 | 中国航天标准化研究所 | 一种正逆结合的航天质量管理体系有效性评价方法 |
CN109685300A (zh) * | 2018-06-28 | 2019-04-26 | 贵州医科大学 | 企业大数据应用能力指标体系及其构建方法 |
CN110569197A (zh) * | 2019-09-12 | 2019-12-13 | 中国工程物理研究院计算机应用研究所 | 一种用于软件可信性评估的可信证据分析与度量方法 |
Non-Patent Citations (2)
Title |
---|
胡勇等: "信息系统安全方案的多属性决策方法", 《四川大学学报(工程科学版)》 * |
赵俊湦: ""基于风险管理的审计评价系统建模与控制研究"", 《经济与管理科学; 基础科学》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116383856A (zh) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
CN116383856B (zh) * | 2023-05-24 | 2023-08-29 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Koopman et al. | A non-Gaussian panel time series model for estimating and decomposing default risk | |
CN111080502A (zh) | 一种区域企业数据异常行为的大数据识别方法 | |
WO2008088652A2 (en) | Method and system for generating a predictive analysis of the performance of peer reviews | |
de Barcelos Tronto et al. | Comparison of artificial neural network and regression models in software effort estimation | |
Bag | A short review on structural equation modeling: applications and future research directions | |
Susanti et al. | Analysis of profitability, leverage, liquidity, and activity of financial distress basic study of chemical sub sector industry listed on BEI | |
CN106295858A (zh) | 一种电能表非健康度预测方法 | |
Jespersen et al. | Developing a concept for external audits of psychosocial risks in certified occupational health and safety management systems | |
Vogel-Heuser et al. | Operator knowledge inclusion in data-mining approaches for product quality assurance using cause-effect graphs | |
CN112257900A (zh) | 一种基于结构方程的含分布式电源的配电网网架优化方法 | |
JP7296548B2 (ja) | 作業効率評価方法、作業効率評価装置、及びプログラム | |
CN113238908B (zh) | 一种服务器性能测试数据分析方法及相关装置 | |
CN111666571A (zh) | 一种信息安全控制措施的效能分析方法 | |
WO2023029065A1 (zh) | 数据集质量评估方法、装置、计算机设备及存储介质 | |
Hilal et al. | Portfolio risk assessment using multivariate extreme value methods | |
Di Martino et al. | Comparing size measures for predicting web application development effort: a case study | |
CN115114124A (zh) | 主机风险的评估方法及评估装置 | |
Yücalar et al. | Regression analysis based software effort estimation method | |
CN109213119B (zh) | 基于在线学习的复杂工业关键部件故障预测方法及系统 | |
CN116187932A (zh) | 一种信息系统工程监理项目风险自适应评估方法 | |
Sahraoui et al. | Investigating the impact of a measurement program on software quality | |
Bardsiri et al. | Statistical analysis of the most popular software service effort estimation datasets | |
Ulan et al. | Towards meaningful software metrics aggregation | |
Velychko et al. | A comparative analysis of the assessment results of the competence of technical experts by methods of analytic hierarchy process and with using the Rasch model | |
Purandare | An entropy based approach for risk factor analysis in a software development project |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200915 |