伟峰的共享空间

    之前想了很多信息安全度量的问题，回到现实工作中，    真正能想到并且真正去实施信息安全度量的企业目前还很少，因此，对大多数已经成功建设ISMS的企业而言，做好体系有效性测量就成了一项很重要的工作。
    一般情况下，信息安全管理者会认为有效性测量的内容和结果只是用在体系发布直至认证审核的这3个月运行期内。通过审核后当然可以继续执行体系有效性策略，但收到的重视程度就相对要差一点了。其实，体系有效性测量指标的设计很有讲究，如何通过几十个有效性测量指标来反应体系运行过程中的一些普遍和常见问题，并从一定程度上反映信息安全管理现状是一个值得我们思考的问题
    一般而言，有效性测量指标需要考虑以下几方面因素：
    1.信息便于采集
    2.各项指标能基本覆盖一些重要或普遍关注的安全管理领域
    3.同一领域内的指标应具有一定关联性
    简单来说，如果我们只是简单的设计防病毒客户端安装率、年度信息安全事件次数等，虽然也可以反映一些情况，但这些信息直接相对孤立，我们获得的仍是一部分零散的信息，对安全管理的推动非常有限。
    针对这些情况，就有必要考虑上述三方面因素，力争通过尽量少的指标来反应一些重要关注方面的实际情况。比如除了防病毒软件客户端的安装率外，我们还可以关注防病毒软件病毒库更新成功率；除了安全事件次数外，还可以关注安全事件影响程度统计，通过在某一领域内设置3-5个彼此之间具有一定逻辑关联的有效性测量指标，来满足我们的管理需要。出于这样的考虑，总体上设置50-70项指标即可大致覆盖ISMS的一些重要领域，对于一些特别关键、信息采集复杂、分析难度较高的方面，则不能寄托于体系有效性测量指标，需要在相关的管理制度中另行考虑具体的考核指标。
   

之前都是谈度量，估计大家都看累了，我自己也写得没激情了，所以换个话题，说说顾问的“精气神”.
所谓的“精气神”，个人理解是作为一名咨询顾问由内而外的三层——内涵、气质、精神面貌。精气神三者缺一不可，一名好的顾问，必然是精气神兼备而且三者很平衡，用时髦的词语来说，很和谐

 

精——内涵。作为一名合格的顾问（优秀太美好，也太遥远，太飘渺），内涵最重要。什么是内涵，就是顾问的学识、经验、判断能力。随着顾问年龄的增加，阅历的丰富，项目经验的增多，这方面会逐步增加，但是个人日常的积累也是必不可少的。日常的积累或许只是零散的碎片，但是知识结构的完善就好象玩拼图游戏一般，只要掌握结构根据工作需要或者个人发展需要进行有机组织，零散的碎片组合之后就是一幅美丽的画卷。
精是内在的，也是最关键的，需要自我的努力和外部的磨练，需要时间和恒心，一名顾问的精髓皆在于此。

 

气——气质。顾问应该有良好的气质，所谓的气质不是说一个人有多帅，有多漂亮，而是给人的一种感觉，专业、严谨、细致。影响一个人气质的包含内在和外在，内在就是之前说的精，外在就是着装打扮。一个身穿T恤牛仔裤运动鞋的顾问和一个一身正装给人的感觉是完全不同的，气虽然不是最重要的，但是足以影响客户对你的第一印象，足以影响你自己对自己的自信。一个男人穿上一身正装，想帅或许很难，但是想不精神绝对很难（东倒西歪、扭扭捏捏会让你觉得西服非常不舒服）。

 

神——精神面貌，包括良好状态下的精神抖擞，但是更包含自信、稳重、坚韧不拔。你可以是一个性格温和、甚至软弱的人，但是你一旦成为一名顾问，一旦你面对客户或者处理问题时，你的心中就该响起这么一个声音（We are the champion！We are the No.1！）这不是自欺欺人，跟不是精神自慰，作为一名顾问，本该如此！

 

精、气、神，三者完美结合，和谐共处，一名好顾问油然而生！

注：随手爬点格子，仅代表个人观点！看到的莫较真！

 

之前写了一些感受都是关于信息安全度量体系建设实施的，虽然和度量关系比较密切但怎么说都是一个建设初期的一些个人心得，从来没有从整体的角度出发，系统的考虑度量体系的长远发展和运作。所以，之前那个阶段，我称之为“度量时代”

在企业成功建设度量体系之后，并不会就此止步，度量体系的建设成果只是解决了从无到有的问题，但是伴随而来的还有更多的问题：
有了就能用吗？
能用了就好用吗？
好用了就管用吗？
……

听着是顺口溜，其实内涵还是蛮丰富的

能用：贴合企业实际，不局限于文档或制度，简单地说，可落地！
好用：便于理解，标准统一，评价客观，简单地说，可操作性强！
管用：有效评价，监督改进，风险预警，长效治理！

从这三个方面考虑，我们在成功建设度量体系之后，正式进入了“后度量时代”，要想实现能用、好用、管用。需要一些必要条件：
1、领导重视和支持
2、相关部门的配合
3、技术手段的支撑

1和2不用多说，3才是关键。大部分企业中1、2都比较容易满足，3才是比较难落实的，难度不在技术上，而在于理念上。技术手段说白了就是上工具。

工具能干嘛？这里有一个误区
有二类极端观点：
1、工具是万能的，从度量检查计划编排、度量指标抽取、度量检查实施直至最终向领导汇报，一个工具全部搞定。
所以，工具不上则已，如果要上，就要上全套，一步到位，彻底解放安全管理人员。
2、工具没啥用，最多也就是看着花哨点，做做展示的，大量事情还是要人来做，工具可有可无，没多大价值。

工欲善其事，必先利其器！我们常说度量就是一种量化评价，那么工具就是我们实现量化评价的利器。

你要获知一件物品的重量，可以用手掂一下来估计，也可以用秤来获得具体重量信息。

手掂没有量化结果，好比定性评价，最终只能告诉你“还行，不怎么沉！”
秤有好多种，杆秤、磅秤、天平、电子秤，度量既然要量化评价、要准确客观，那就要用一把好秤来秤出安全管理的分值。

工具很重要，设计度量工具前的构思也很重要！

后度量时代，由度量工具的构思开始！

下次继续写点关于度量工具的构思，欢迎指正！

后度量时代的重点在于把现有体系充分运转起来，发挥度量的真正作用

从信息安全甚至IT治理的角度来说，相信多数人对于审计已经建立了基本的概念，甚至因为工作关系有了一定的了解，但是对于度量很多人可能并不了解，甚至并不知情，这里把这两者之间的关系和差异做一个简单的比较分析，为了避免误解，仅就信息安全方面进行。

 

两者的关系：
1、都是对信息安全的某个方面或者多个方面的评价手段；
2、都必须基于一定的检查基础之上；
3、都需要客观、真实、可信的证据提供支持；
4、都能够对信息安全的某个或多个方面进行客观、有效的评价；
5、从信息安全管理的角度出发，都处于PDCA环节中的C环节；

 

两者的差异：
1、关注重点不同，审计更注重合规性，而度量更注重管理现状，不局限于合规；
2、评价性质不同，审计以定性评价为主，度量以定量评价为主；
3、检查来源不同，审计以外部评价为主（外审比内审更能客观评价），度量以内部评价为主；
4、实施周期不同，审计实施周期相对较短，而度量则有一定的持续性
5、……

 

审计和度量之间的联系、差异有很多，我只列举我认为最重要的部分。虽然两者有着一定差异，但是并不代表两者是彼此孤立甚至对立的，两者之间有着密切的联系。从信息安全管理甚至IT治理角度出发，两者的结合是对企业信息安全管理现状实施有效管控的必然之路。

 

对于企业而言，首先可以建立信息安全内审机制，通过建立相应的流程，定期在企业内部有针对性的开展IT审计，对相关管理行为的合规情况进行检查和评价。在建立IT审计机制并成功实施了一段时间之后，在开户内部开展信息安全度量机制。大体上遵循如下的流程：

1、开展信息安全培训
2、梳理现有制度，建立信息安全内审流程
3、实施并运行信息安全内审流程
4、建立信息安全度量体系
5、全面开展信息安全度量
6、形成日常度量、定期审计的长效管理机制

以上是由审计和度量的区别引发的一些小小思考，有感而发，可能还有不少的不足，欢迎大家多提建议！

 

上次说到内部影响因素，今天继续来说外部因素，所谓的外部因素，主要就是来自客户（客户方代表）。由于不同的客户对于度量手册甚至度量的认知都存在较大差异，对于手册子的要求自然也就各不相同。但是无非可以分为这么几大类：
1、手册内容傻瓜化。越细致越好，如果可能的话，应写明每一步操作步骤，具体到命令或脚本级别。
2、手册内容简洁化。手册内容不需要太细致，甚至秩序列出各类指导原则即可，实际操作时由相关人员自行掌控。

我们来逐一进行分析：
第一种情况：客户期望获得一份权威、细致的度量操作手册（请注意，强调“操作”二字）。在此种情况下，可能是客户对具体技术细节不了解，但是更多的是客户希望咨询顾问能投为他们提供一套明确定义的标准，今后的相关度量检查工作都能按部就班顺利的开展。
第二种情况：客户充分信赖己方人员的技术能力，相比较度量过程更关注度量结果，只要能够发现问题、客观评价并且不对正常运行造成影响，什么方法都是可以接受的。

个人认为无论哪种方法都是不恰当的，基本上相当于2个极端。
前者对度量手册过分依赖，虽然降低了对于度量人员的要求，但是一旦手册需要进行修订，工作量会相当繁重，和可能导致一定时间内无法使用手册，甚至造成手册内容和实际工作脱节的情况。
后者则是完全误解了度量手册的作用，完全将度量检查工作的开展寄托于度量实施人员的个人能力上，一旦发生人员离职或暂时离岗的情况（病假、事假、升迁等），同样会对度量工作的开展产生影响

我们认为，度量手册是一项具有指导意义和实践意义的重要工具，控制手册的颗粒度是一项很重要的工作，手册中既要列出各类检查工作的指导原则，也要列出一定的检查步骤（注意，是检查步骤，而非检查措施）。在确保具有统一标准的前提下，根据客户需要适当的进行精炼或扩展。