本文提出了一種基于國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)GB17895 的安全管理度量方法，闡述了度量
要素的提取及度量結(jié)果的量化等問(wèn)題的解決方案，并依據(jù)ISO/IEC17799 標(biāo)準(zhǔn)設(shè)計(jì)了安全管理度量的核查表。
關(guān)鍵詞：信息安全安全管理度量 等級(jí)保護(hù)
信息安全“三分技術(shù)，七分管理”的思想目前已經(jīng)被廣泛接受，然而，在實(shí)際的安全實(shí)
踐中，安全管理依然被人們忽視。導(dǎo)致這種局面的一個(gè)重要原因是安全管理的有效性難以度量。相對(duì)于安全技術(shù)，安全管理涉及到更多的領(lǐng)域，包含眾多的非量化的難以測(cè)量的因素，如規(guī)章制度的制定和培訓(xùn)、管理措施的落實(shí)、財(cái)政預(yù)算的支持等。因此，信息安全管理有效性的度量繁雜乃至瑣碎，難度很大。具體實(shí)施過(guò)程中，對(duì)安全管理的度量主要依靠操作人員進(jìn)行，度量的準(zhǔn)確性往往依賴于操作人員的實(shí)踐經(jīng)驗(yàn)、對(duì)相關(guān)標(biāo)準(zhǔn)的理解程度等。這些主觀因素往往導(dǎo)致度量結(jié)果不夠準(zhǔn)確，不能真實(shí)反映安全管理上的弱點(diǎn)，也就不能有針對(duì)性的進(jìn)行改進(jìn)，從而降低了度量結(jié)果的可信度，進(jìn)而影響甚至誤導(dǎo)信息安全的改進(jìn)過(guò)程。
管理學(xué)上有如下原則：不能被測(cè)量的行為是不能被管理的。如何對(duì)安全管理進(jìn)行有效的
量化度量，根據(jù)量化的度量結(jié)果進(jìn)一步指導(dǎo)安全管理，提高信息安全能力和水平，目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。
針對(duì)安全管理的量化度量問(wèn)題，本文建立了信息安全管理度量的層次結(jié)構(gòu)模型，確定了
信息安全管理度量要素及度量指標(biāo)，設(shè)計(jì)了相應(yīng)的度量方法及輔助調(diào)查工具――度量核查表。