超级会员免费看
利用目标达成量表评估信息系统安全控制
在当今数字化时代,信息系统安全对于组织而言至关重要。尤其是那些在信息技术领域投入巨大的组织,如何评估信息系统的安全状态成为了亟待解决的问题。本文将介绍一种名为目标达成量表(Goal Attainment Scaling,GAS)的方法,以及它在信息系统安全评估中的应用。
1. 信息系统安全控制评估的挑战
信息系统安全控制形式多样,包括硬件设备、计算机程序和管理流程等。其目的是预防、避免、检测或应对可能威胁信息机密性、完整性或可用性的安全漏洞。然而,评估这些控制的有效性并非易事。
传统上,人们可能认为控制的有效性可以通过其防止的安全漏洞数量来衡量。但这种方法存在两个问题:
- 缺乏一对一关系 :一个威胁往往由多个控制共同应对,难以单独评估某个控制的效果。例如,防止未经授权访问敏感信息需要物理控制(如锁、保安和警报系统)和逻辑控制(如密码、加密和认证软件)的共同作用。
- 威胁的偶然性 :有些威胁的发生是不可预测的,与控制措施的存在与否无关。例如,没有锁的场所可能从未发生过闯入事件,而有多个锁的场所可能每年发生两三次。
因此,本文采用的方法侧重于评估现有控制的状态、质量或条件,而不是通过测量已发生或已防止的安全漏洞数量来评估控制的有效性。
2. 什么是目标达成量表(GAS)
GAS是一种项目评估方法,用于评估项目或计划的有效性。它通过确定组织在多大程度上实现了其既定目标来进行评估。
GAS方法的核心是评估工具,通常是一个表格或矩阵。其中,列代表要评估的目标,行代表这些目
订阅专栏 解锁全文
扫一扫
5
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
