超级会员免费看
基于指标的信息安全评估:ISO 17799 与 SSE - CMM 的融合之道
在当今数字化时代,信息安全问题日益严峻,各类安全事件频发,如信息系统病毒感染、网页篡改、信息盗窃等。这些事件不仅影响了大量系统,还造成了巨大的经济损失。因此,如何准确衡量组织的信息安全水平成为了亟待解决的问题。
1. 信息安全评估的现状与问题
过去,组织主要采用年度损失期望(ALE)计算或第三代信息安全管理框架来衡量信息安全。然而,这些方法存在诸多问题。ALE 计算假设信息安全威胁环境固定,且能确定特定漏洞被利用的概率和损失成本,但实际中组织很难评估无形资产的风险,也难以准确确定威胁利用漏洞的可能性。
第三代信息安全模型,如 NIST 手册、CSE 指南、BSI 7799、ISO 17799 和 ISO/IEC 13335 等,虽能为组织提供信息安全管理的指导,但它们的整体性使得难以轻松、有效或高效地测量特定信息安全参数,无法充分衡量安全投资的有效性,也不能很好地回答管理层提出的诸如“我们现在比以前更安全了吗?”“我们与竞争对手相比如何?”等难题。
2. 指标的重要性及挑战
为解决上述问题,有人提出使用指标来评估信息安全。指标具有诸多优势,如使流程可重复、更易管理,能通过功能模板立即进行系统安全风险评估,使系统目标定位更频繁,规范服务提供商之间的风险评估流程和结果,创建类似功能系统的威胁、漏洞、影响(T/V/I)基线,以及改进规划、编程和预算系统(PPBS)的输入等。
然而,定义特定、及时的指标并非易事。目前,信息安全领域的指标尚处于起步阶段,需要在第一代高度量化的测量方法和当前使用的定性测量方法及框架之间找到平衡点,迈向第四代信息安全范
订阅专栏 解锁全文
扫一扫
3686
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
