伟峰的共享空间

 

之前写了一些感受都是关于信息安全度量体系建设实施的，虽然和度量关系比较密切但怎么说都是一个建设初期的一些个人心得，从来没有从整体的角度出发，系统的考虑度量体系的长远发展和运作。所以，之前那个阶段，我称之为“度量时代”

在企业成功建设度量体系之后，并不会就此止步，度量体系的建设成果只是解决了从无到有的问题，但是伴随而来的还有更多的问题：
有了就能用吗？
能用了就好用吗？
好用了就管用吗？
……

听着是顺口溜，其实内涵还是蛮丰富的

能用：贴合企业实际，不局限于文档或制度，简单地说，可落地！
好用：便于理解，标准统一，评价客观，简单地说，可操作性强！
管用：有效评价，监督改进，风险预警，长效治理！

从这三个方面考虑，我们在成功建设度量体系之后，正式进入了“后度量时代”，要想实现能用、好用、管用。需要一些必要条件：
1、领导重视和支持
2、相关部门的配合
3、技术手段的支撑

1和2不用多说，3才是关键。大部分企业中1、2都比较容易满足，3才是比较难落实的，难度不在技术上，而在于理念上。技术手段说白了就是上工具。

工具能干嘛？这里有一个误区
有二类极端观点：
1、工具是万能的，从度量检查计划编排、度量指标抽取、度量检查实施直至最终向领导汇报，一个工具全部搞定。
所以，工具不上则已，如果要上，就要上全套，一步到位，彻底解放安全管理人员。
2、工具没啥用，最多也就是看着花哨点，做做展示的，大量事情还是要人来做，工具可有可无，没多大价值。

工欲善其事，必先利其器！我们常说度量就是一种量化评价，那么工具就是我们实现量化评价的利器。

你要获知一件物品的重量，可以用手掂一下来估计，也可以用秤来获得具体重量信息。

手掂没有量化结果，好比定性评价，最终只能告诉你“还行，不怎么沉！”
秤有好多种，杆秤、磅秤、天平、电子秤，度量既然要量化评价、要准确客观，那就要用一把好秤来秤出安全管理的分值。

工具很重要，设计度量工具前的构思也很重要！

后度量时代，由度量工具的构思开始！

下次继续写点关于度量工具的构思，欢迎指正！

后度量时代的重点在于把现有体系充分运转起来，发挥度量的真正作用

从信息安全甚至IT治理的角度来说，相信多数人对于审计已经建立了基本的概念，甚至因为工作关系有了一定的了解，但是对于度量很多人可能并不了解，甚至并不知情，这里把这两者之间的关系和差异做一个简单的比较分析，为了避免误解，仅就信息安全方面进行。

 

两者的关系：
1、都是对信息安全的某个方面或者多个方面的评价手段；
2、都必须基于一定的检查基础之上；
3、都需要客观、真实、可信的证据提供支持；
4、都能够对信息安全的某个或多个方面进行客观、有效的评价；
5、从信息安全管理的角度出发，都处于PDCA环节中的C环节；

 

两者的差异：
1、关注重点不同，审计更注重合规性，而度量更注重管理现状，不局限于合规；
2、评价性质不同，审计以定性评价为主，度量以定量评价为主；
3、检查来源不同，审计以外部评价为主（外审比内审更能客观评价），度量以内部评价为主；
4、实施周期不同，审计实施周期相对较短，而度量则有一定的持续性
5、……

 

审计和度量之间的联系、差异有很多，我只列举我认为最重要的部分。虽然两者有着一定差异，但是并不代表两者是彼此孤立甚至对立的，两者之间有着密切的联系。从信息安全管理甚至IT治理角度出发，两者的结合是对企业信息安全管理现状实施有效管控的必然之路。

 

对于企业而言，首先可以建立信息安全内审机制，通过建立相应的流程，定期在企业内部有针对性的开展IT审计，对相关管理行为的合规情况进行检查和评价。在建立IT审计机制并成功实施了一段时间之后，在开户内部开展信息安全度量机制。大体上遵循如下的流程：

1、开展信息安全培训
2、梳理现有制度，建立信息安全内审流程
3、实施并运行信息安全内审流程
4、建立信息安全度量体系
5、全面开展信息安全度量
6、形成日常度量、定期审计的长效管理机制

以上是由审计和度量的区别引发的一些小小思考，有感而发，可能还有不少的不足，欢迎大家多提建议！

 

上次说到内部影响因素，今天继续来说外部因素，所谓的外部因素，主要就是来自客户（客户方代表）。由于不同的客户对于度量手册甚至度量的认知都存在较大差异，对于手册子的要求自然也就各不相同。但是无非可以分为这么几大类：
1、手册内容傻瓜化。越细致越好，如果可能的话，应写明每一步操作步骤，具体到命令或脚本级别。
2、手册内容简洁化。手册内容不需要太细致，甚至秩序列出各类指导原则即可，实际操作时由相关人员自行掌控。

我们来逐一进行分析：
第一种情况：客户期望获得一份权威、细致的度量操作手册（请注意，强调“操作”二字）。在此种情况下，可能是客户对具体技术细节不了解，但是更多的是客户希望咨询顾问能投为他们提供一套明确定义的标准，今后的相关度量检查工作都能按部就班顺利的开展。
第二种情况：客户充分信赖己方人员的技术能力，相比较度量过程更关注度量结果，只要能够发现问题、客观评价并且不对正常运行造成影响，什么方法都是可以接受的。

个人认为无论哪种方法都是不恰当的，基本上相当于2个极端。
前者对度量手册过分依赖，虽然降低了对于度量人员的要求，但是一旦手册需要进行修订，工作量会相当繁重，和可能导致一定时间内无法使用手册，甚至造成手册内容和实际工作脱节的情况。
后者则是完全误解了度量手册的作用，完全将度量检查工作的开展寄托于度量实施人员的个人能力上，一旦发生人员离职或暂时离岗的情况（病假、事假、升迁等），同样会对度量工作的开展产生影响

我们认为，度量手册是一项具有指导意义和实践意义的重要工具，控制手册的颗粒度是一项很重要的工作，手册中既要列出各类检查工作的指导原则，也要列出一定的检查步骤（注意，是检查步骤，而非检查措施）。在确保具有统一标准的前提下，根据客户需要适当的进行精炼或扩展。

 

作为度量项目最重要的交付物之一，度量手册的质量对度量项目的质量起着至关重要的作用。手册编写工作对项目组成员是一个巨大的考验，因为手册的最终结构、内容会受到多方面因素影响，按这些影响因素的来源，还是可以分为内部、外部二大方面

 

先来分析来自内部的影响因素，可能有很多，但是我认为最直接的只有一个，那就是项目组成员的个人能力。作为度量项目组的成员，不仅需要熟悉各项法律法规、标准，还需要具有一定的技术能力，并且能充分理解客户的需求，但是最重要的是能根据现有的资料和客户的需求进行分析，并确定最终的交付格式。无论是自身能力不足、对客户要求理解不透彻或者是最后的分析不顺利，都有可能给手册编写产生影响。

 

可能出现的影响我们可以先估算一下：

1、能力不足可能导致编写进度拖延甚至最终成果质量低下；
2、对客户要求理解不透彻可能导致最终的成果完全不符合客户要求，甚至被客户要求重新编写整个手册；
3、最后的分析不顺利或者说未能将客户需求与项目情况（主要是资源投入、成本方面考虑）相结合，可能导致误解客户意图并造成项目投入超出预期（先自己汗一个，这点似乎是boss要考虑的问题）

 

思路有点不清晰了，先到这里，改天继续！

一、度量试点的作用：
度量体系初具雏形之后，为了确保度量指标可操作性和易理解性，有必要抽取一定数量的指标进行度量试点，当然，也可以称为度量测试。通过测试，发现度量体系中存在的问题和不足，并根据试点情况对体系进行改进。

二、度量试点前需要考虑的因素
1、试点目的：确定度量试点的目的究竟是什么？
a、检验相关指标的权威性、覆盖面及有效性
在此种情况下主要关注相关度量指标是否已经满足客户需求，覆盖了相关制度、规范要求，能否通过度量试点发现相关安全风险，主要关注试点结果
b、检验相关指标的可操作性、合理性
在此种情况下假定度量体系内的指标覆盖面、权威性都已不存在相关问题，试点过程中主要关注相关度量检查工作的执行难度、被度量部门反馈等内容

2、试点范围：确定试点时抽取哪些指标进行试点
在抽取试点所涉及的相关度量指标时，因考虑指标的代表性、关联性和适用性。
代表性主要是考虑选择具有代表意义的指标，指标应能包含一些现有安全制度或要求关注不够或要求相对较低的方面，避免全部抽取一些比较容易获得高分甚至满分的指标
关联性主要是考虑指标之间的逻辑关系，试点范围内的指标应当“形散神不散”，各指标直接具有一定逻辑关系，但又要避免所有指标都局限于某个具体流程，一面试点范围过小，达不到试点的目的，试点需要选取几个部门，建议选择几个重点关注的部门进行试点，比如系统、网络等相关部门

三、度量过程中需要注意的几点
1、资料收集应尽量一次收集，必要时可补充1、2次，但应尽量在第一次收集时获取大量资料，避免因多次收集资料增加各部门抵触情绪和影响相关部门正常工作
2、文档检查和现场检查相结合，文档检查是必须的，但是为了避免因相关文档记录的时效性影响度量试点结果，还需要安排一定的现场检查，现场检查主要用于核实一些技术类要求的执行落实情况，理论上应以文档检查为主
3、客户的适当参与，客户应参与度量试点，并通过试点提出相关建议，以便对体系的完善工作提供相关建议

四、度量试点的总结
度量试点完成后，应及时对试点结果进行分析、整理，对试点中发现的问题（主要是度量体系本身的相关问题）进行讨论和整改，通过度量发现的相关安全风险也需要进行考虑，但是由于度量试点时所采用的相关指标可能未必是最终版本，因此发现的相关风险只要达到预期目的即可，对于具体的细节不用太过关注

初步整理了这么些内容，先理这么多吧，等大家来拍砖。
最后提醒一下，看贴一定要回帖啊！