淺談信息安全管理的有效性測量方法

王輝

摘 要 隨著時代的發(fā)展人們對信息系統的依賴越來越來明顯，信息系統已經滲透到生活的每一個角落，可以說現代人已經離開不了信息系統帶來的便利，而許多犯罪分子就是利用了網絡便利這一特點實施犯罪，如今的網絡詐騙屢見不鮮，因此，在網絡信息安全保護方面逐漸突出和嚴峻。實現對企業(yè)信息系統的有效測量才能對企業(yè)信息系統安全做一個評估，保證信息系統是否能抵御外界的一切侵襲才可以達到自我控制的水平，也體現了對企業(yè)信息系統安全整體提高的重要性。對信息系統安全實施的重要性可以提高整體經濟水平來做比較，從而得知維護信息系統安全的重要性。

關鍵詞 信息系統；安全管理；有效測量；方法

中圖分類號 G2 文獻標識碼 A 文章編號 1674-6708（2018）206-0110-02

在現代發(fā)展潮流中，信息系統、網絡、計算機大量納入生產生活的管理當中，先不論它具體的作用，就它的便利之處就能讓人們緊緊依賴著，在生產生活中我們把大量的信息都儲存在了信息網絡里，我們隨時隨地都可以從中調取使用，而這樣的便利便成為了許多高智商犯罪分子利用網絡系統的漏洞、便利來實施犯罪，例如：如今在中國流行的支付方式微信、支付寶，讓其他國家看的目瞪口呆，因為現在出門完全不用帶任何的現金，都不用擔心找錢麻煩或者被偷的風險，十分的便利。因此，網絡犯罪分子有了見縫插針的機會，借此機會盜取錢財，只需要用一張二維碼，如果消費者掃了二維碼并且支付相應的金額后，卡里所有的金額都會被一掃而空。

因此，在對信息系統安全性方面一定要實施嚴峻的測量方法，檢測一切漏洞防止犯罪分子有機可乘，在逐漸深入運用信息系統的同時，對信息系統安全管理也應該增強，并通過多樣化的方法來改善當前出現的問題。在強化信息安全在技術方面建設的同時還要有效的開展信息系統安全的評估工作，從而降低信息系統整體安全中出現漏洞的機會。

1 信息系統安全管理有效測量目的

通過有效的測量，能夠得知信息系統里出現的安全隱患，例如：得知一個企業(yè)信息系統安全評估的真正水平，是否把握在控制范圍內，使企業(yè)在后續(xù)的信息安全管理發(fā)展中有明確穩(wěn)定的發(fā)展目標，而企業(yè)的信息系統在建立之初往往會根據企業(yè)自身的發(fā)展需求、安全標準、組織結構、利益關系等方面考慮信息系統的建設，從中構建一個完整的安全信息系統體系。

通過對信息系統安全管理進行有效的測量，可以在有技術管理的支撐條件下對信息系統安全管理進行客觀評估與安全檢測，能實現企業(yè)信息系統制定的目標，并能對企業(yè)信息系統安全管理進行準確科學的安全檢測，為企業(yè)提供進行系統安全管理的檢測依據。

對系統安全管理檢測有利于提升用戶使用的可靠性，在中國已經使用微信、支付寶作為支付方式，在使用支付過程中往往疏忽大意，很容易誤入騙子圈套里，人們防范意識低很容易被網絡犯罪分子欺騙，例如：支付二維碼，很多網絡犯罪分子利用二維碼，改寫里面的收款對象，用戶支付過后，金額會轉入犯罪分子手里。

還有一些借助網絡活動，用戶一旦點開所有信息都會暴露出來，之后就把用戶賬戶里面的金錢一筆筆的轉走，用戶卻無能為力，只能眼看著賬戶里的錢一筆筆的被轉走，網絡犯罪分子就是利用了網絡出現的漏洞伺機而入，實施犯罪，因此，在對信息系統安全管理的檢測維護信息系統安全是必不可缺的。

2 信息系統安全管理的有效測量方法

在開展對信息系統安全管理有效的測量方法時，要時刻注意用戶的個人財產問題，在保證不被不法分子有機可乘和不影響用戶的利益的情況下進行，實施抽取部分用戶信息系統安全進行檢測，從中得出整體的信息安全指標，對不同指標進行不同的檢測，這屬于一個量化的檢測方式，采取多個指標進行對比對出現相同的問題進行探討并及時總結，得出結論以后再統一進行更正，提高信息系統安全管理的能力，除此之外還有問卷調查、內部分析、個人訪談、內外對比等方面的檢測方法，對提供信息量進行不同的檢測方式。

通過不同指標進行檢測后，得出了各個指標的檢測結果，在此基礎上要通過不同的結果以不同的技術進行科學有效的取值分析，及時告知用戶其中存在的安全隱患，讓用戶提高對信息系統的防范意識，其次綜合計算所有的指標得出最終結論，及時修復信息系統存在的漏洞，在第一時間內保證用戶的個人利益不受侵犯。最后對環(huán)境安全、個人安全、安全意識以及事件管理開展管理有效的評估做總結，對終結方案有著良好的實施性。

在信息系統安全管理的有效檢測發(fā)展中，通過相關機構提出的通過整體的系統模型來實現對信息系統安全整體管理的安全性方法，通過信息系統模型來進行安全檢測，系統模型的作用是一旦出現問題后不會導致用戶使用系統進入癱瘓狀態(tài)，這就好比游戲里面的正服和體驗服，體驗服是通過研究新事物在游戲里面的運行狀態(tài)是否出現卡頓現象等進行研究，在用戶體驗過程中一旦發(fā)現漏洞會對相關人員進行提示，逐漸進行更正最終才能進入正服。同理，對模型進行測量不會影響信息系統整體的運行狀態(tài)，最終對得出的測量的結果分析總結，從而得出最后的策略方案。

3 糾正預防措施驗證

對已經納入整體有效的測量計劃糾正防御措施，在系統安全管理檢測中進行檢查和回顧，這樣做的目的是為了對信息系統安全管理測量做二次保障，為用戶在體驗產品造成問題的幾率降到最低，以保證用戶自身的經濟利益不受侵犯，保證檢驗過程中對信息系統安全管理，實施各種方案是否符合當前的狀況和具體要求，以實現有效的防治和有效影響的最小化。

3.1 信息安全管理體系

管理人員在設計信息管理體系時候，必須針對流程、產品、項目計劃、資源等進行測量信息的模型構建。其構建的方式可以有：基礎測量、推論測量、指標測量。

3.2 信息安全管理體系測量方法

管理人員在對管理體系有效測量的方法方面，可以針對ISMS需要的實體測量進行研究，并形成《信息安全管理體系策劃書》，最終的策劃方法應該得到信息技術部的領導審批，所需要調查的表格也應該有管理人員以電子郵件的形式傳送到各個相關部門。

3.3 搜集整理數據

管理人員應該先搜集相關數據制作出《信息安全體系測量數據搜集報告》，并對數據作分類整理，同是分析相關聯的數據管理流程，研究相關的風險評估數據，提出可承受的風險標準，羅列可能發(fā)生的問題及對策；協同相關職能人員與部門進行問題上的修改，以及可能發(fā)生的問題作出預案，最終總結出《信息安全管理體系測量結果報告》。

4 信息系統安全事故統計

對信息系統安全管理的事故進行統計是為了得出問題的原因，如上文所述檢測到不同指標可以從不同的解決方案中解決存在的漏洞，對不同的信息系統事故進行統計和分析，有利于相關機構提供多種指標以便研究，為檢測的有效性方式提出了更合理的方法，以實現更高程度的信息系統安全評估以及控制方面措施運用的有效性。

這樣的方式為實現綜合型檢測提供了基本的方案，有計劃的和與信息事故統計相結合，有利于對相應的問題進行研究，例如：出現相關的問題可以借助以往的解決方案再做研究，在相似點上面解決問題后再對新問題進行研究找出相似與不同點，就不用從頭去解決信息系統帶來的事故問題，對信息系統測量的有效性能夠達到一個新的層次。

5 結論

通過對信息安全管理系統進行測量能夠對信息系統出現的漏洞進行修復，用戶的個人財產在第一時間內得到保障，這是信息系統測量的最終目的。而就目前我國測量信息系統安全處在起步狀態(tài)，對各項相關的理論研究和測量指標的應對方案都處在欠缺情況，需要不斷進行研究和探討。

在對信息系統安全的測量中對不同的信息系統事故進行分類、統計、研究、糾正、回顧方法測量過后運用各種方式解決信息系統出現的不同問題，能夠有效應對了未知領域信息系統可能會出現的問題。

事實證明在保證整體信息系統運行安全時，能夠有效提高企業(yè)自身的競爭力和生存能力，并且能夠得出結論對企業(yè)信息系統測量得出的問題進行研究分析，對企業(yè)信息系統可能面對的問題最大化的解決，最終達到企業(yè)的基本物流能夠穩(wěn)定的進行。

參考文獻

[1]朱英菊.劉紅麗.信息安全管理有效性的測量研究[J].情報雜志，2010（1）：73-76，41.

[2]張立偉.信息安全管理有效性的測量研究[J].中國管理信息化，2014（10）：78.

[3]田世杰.閔樂泉.趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信，2009（5）：70-74.