【独家】利用信息安全系统分级及测评标准，协助CIO向管理层呈现信息安全投资的价值以及企业信息安全成熟度演变

‍

“铃…”，已经是深夜12点了，电话那边传来陈总着急的声音：“赛博星人啊，这次你们真的要帮帮我们，近期信息安全事故频发，CEO迫切地想知道我们公司的信息安全现状，在这之前已经找过好几家的咨询公司，钱也没少花，什么ISO 27001，国家信息系统等级保护，FISMA-NIST-SP800-53，ITIL，COBIT 5等都找人帮我们搭建了相应的体系，也通过审计并拿到了认证，但只是一张张纸，无法直观地体现我们公司现在实际的信息安全管理成熟度，也无法帮我们回答以及切切实实地解决信息安全管控问题，譬如：

• 公司的信息安全成熟度到底处于一个怎样的水平？信息安全管控和行业水平进行对比的结果是怎样的？

• 我们每年所花的信息安全经费都花在什么地方上了？而相应地，我们的信息安全管理得到了怎样的提升？改善了信息安全管控的那些方面？

• 信息安全管控在哪些范围还存在不足，需要完善？

• 我们现在的信息安全管控水平和过往自身的信息安全建设、发展历史对比是一个怎样的趋势？

  
  

这些问题也是我们的高级管理层的关注点也是他们容易理解的，但按我们现行的信息安全管理方法，我们都无法回答以上问题，你们有办法吗？”

听得出刚上任的CIO陈总内心正担心着信息安全保护成熟度的问题，但因为这里面涉及的问题范围和解决的方法太复杂了，所以我们首先简单概括地回答了一下：

赛博星人：这些问题的成因都是因为企业长期追求信息系统的【完整性（Integrity）可用性（Availability）】，忽略了【机密性（Confidentiality）】而造成的。只要重新梳理好企业【机密性（Confidentiality）】需求，灵活运用我们赛博星人的方法，就能解决您现在碰到的问题，解决方法主要涉及以下四个方面:

• 完善信息安全标准设计，统一信息安全标准语言，并对信息安全标准进行等级划分

• 根据系统的重要程度进行系统分级

• 完善信息安全的测评方法，持续测评，搭建信息安全成熟度模型

• 统计分析，以数据为基础向管理层直观的展现信息安全投入与信息安全效果。”

赛博星人协助这家世界500强公司进行“信息安全标准设计”、“系统分级”、“系统测评”、协助CIO向CEO汇报企业信息安全实际成熟度，以及在高级管理层面前呈现信息安全投资价值的故事就这样开始了。

我们汇总了陈总所面临的问题，也是现在企业CIO，CISO们普遍遇到的困难：

企业开始意识到以往机密性（Confidentiality）投入不足的问题，那作为CIO, CISO们该如何应对信息安全管理的困难与挑战呢？

赛博星人给出了以下解决建议

• 完善信息安全标准设计

• 系统分级

• 系统测评

• 统计分析

和陈总约谈结束后，了解到A公司是典型的跨国500强企业，和全世界50多个国家有着业务往来，直接或间接支撑业务的系统就有300多个，涉及部门30多个。如果信息安全部门为了梳理信息安全标准而和业务部门逐一访谈，了解流程，了解信息安全标准是不切实际的，必须有一套完整、可落地的《信息安全标准》帮助业务部门和信息安全部门了解业务安全需求。

赛博星人为企业提供了目前行业内比较先进的《信息安全标准》作为参考，企业在充分理解自身的业务安全需求（高、中、低）的前提下，对参考标准做了适当的调整，就能建立起了一套全新的、完整的、适合企业自身安全需求的《信息安全标准》。

系统分级就是根据既定的范围，基于业务职能及细化的流程领域范围内的信息系统数据进行梳理，并根据安全框架建议的各业务职能对应的信息及信息系统的安全目标及标潜在的影响为出发点，把信息系统的安全需求按等级进行划分的过程。

依据 “high water mark” 原则 汇总C.I.A.三个指标得到单一的系统整体安全分级指标。但由于在生产环境下，需要考虑其他参考指标及权重，所以最终分级逻辑的计算工作量将会很大。

赛博团队考虑到计算的复杂性和指标设定的多样性，总结以往的系统分级经验，开发了自主版权的【信息系统分级系统】，并部署和实施在各个行业的企业里，发挥了理想的效果。把企业的各个系统按信息安全需求的水平（高、中、低）进行了等级划分，真实反映出企业的信息安全需求。为企业后续的信息系统测评奠定了坚实的基础。

系统分级还有另外一个作用，统一了IT部门和管理层间的信息安全标准，通过统一的信息安全标准，管理层与IT部门间的沟通更顺畅，IT部门也更明白管理层的安全需求，双方统一了目标，形成合力共同推进信息安全管理。

系统分级可在信息系统开发生命周期（SDLC）的【业务需求分析】阶段进行，让符合企业信息安全标准的系统才被开发；系统分级也可以用在（SDLC）的【测试】阶段进行，让符合企业信息安全标准的系统才被投入到生产环境中；运用系统分级的优点主要有：

• 通过了解现状，制定标准，改善，提升四个步骤构建起安全成熟度模型

• 统一了信息安全标准，让IT主动提升技术，主动寻求达标方法

• 让符合企业信息安全标准的系统才被开发

• 让符合企业信息安全标准的系统才被投入到生产环境中

• 把信息安全管控置于信息系统开发阶段，可以减少因为修改不符合安全需求产品所产生的成本。

系统测评

系统测评就是对单个系统信息安全控制效果和信息安全标准进行比对，并记录实际的控制方法，由测评人员对控制效果进行客观的评定并转化为相应的分值，总分越接近满分代表系统信息安全控制效果越接近企业的需求。

但企业实际的IT管理过程中，会对IT的工作分了多个层面（管理层，应用层，主机层，网络层，物理层），同一控制点会在不同的管理层面里使用不同的控制方法实现，也就意味着有些控制点需要在不同的层面上测试控制的有效性，200个控制点再乘以5个层面，一个系统就多达上千的控制效果需要进行检查，工作量巨大。

赛博星人在不断的总结经验和改进方法，利用结构化，系统化的测评软件提高测评的效率和准确率，让测评工作更加轻松有趣，测评结果更直观可信。

根据【信息安全测评标准】与【测评结果】，我们可以统计出信息系统当前的安全水平，总结出当前的安全水平与最佳实践标准间的差距，分析出信息系统在各个管理层面的管理效果。

但是，测评软件仅能体现当前系统的测评结果得分并不是系统测评的最终目标。信息系统测评的最终目标是通过持续的测评，记录各个周期的测评结果，形成信息安全发展的轨迹，让管理层清楚的了解企业目前的信息安全总体趋势，并为IT战略的制定提供充分数据支持。

到此，答案已经清晰并可见了，管理层通过系统分级和测评，不仅解决了信息安全标准不统一，无法测评的问题，而且还解决了“信息安全投资的价值的体现以及企业信息安全成熟度如何呈现”的问题，而且呈现的方式也是管理层能理解，能接受的形式，而不是像传统的ITSM（信息技术管理）体系那样罗列过多的技术语言或技术参数，让管理层无法理解而忽略了信息安全管理中存在的问题，错过了信息安全管理提升的时机。

    通过以上工作，我们总结出系统分级与测评最终带给企业的优点有哪些呢？

• 第一：能明确企业现阶段的安全需求。企业在发展过程中，总会根据市场选择有利于盈利的方法进行资源投入与创新，但是牺牲安全的盈利终究不能持久，因此系统分级与测评促进了企业尽快达到安全与业务的平衡。

• 第二：系统测评能真实的反映出企业的安全现状。通过完整的控制点选择和测评，我们能总结出企业安全现状与安全标准间的差距，这个差距即企业需要关注的信息安全提升空间。

• 第三：统一了信息安全管理语言，清晰明确的安全标准可以促进IT技术的变革，令IT的技术改造有了更明确的目标和方向。

• 第四：利用系统记录完整的测评过程，能为企业积累信息安全管控案例及经验。

• 第五：经过持续的测评，测评系统保留的不同周期数据能真实的反映出企业的信息安全发展轨迹，形成可视的信息安全发展进度图，提高信息安全管理的成熟度，提供信息安全发展的战略方向。

  
  

信息安全发展的道路总是曲折难行，如果因为困难而选择对信息泄露风险妥协，那么信息安全的问题只会一直困扰着我们，不积跬步无以至千里，何不坐言起行，迈出信息安全管理的第一步？

文章/赛博邓  

赛博邓Ivan,是普华永道信息安全与隐私保护团队高级顾问，CISA信息系统审计师，CISA资深讲师。在信息系统相关控制审阅、FISMA_NIST、等保测评、编程和数据维护等方面有超过10年的专业经验

小编/赛博克里斯，赛博慧

本文始发于微信公众号（赛博星人）：【独家】利用信息安全系统分级及测评标准，协助CIO向管理层呈现信息安全投资的价值以及企业信息安全成熟度演变