如何制定信息安全管理服务质量指标

如何制定信息安全管理服务质量指标

【摘 要】信息安全管理进入了战国时期，百家争鸣的同时也不乏明争暗斗。在这样的情况下就是有火眼金睛的信息安全管理员也无法辨别优劣。在使用系统集成商标榜的优势互补的安全“混搭”设备下我们要制定好自己的信息安全管理服务质量指标，来指导和监控我们的信息安全管理。
【关键字】信息安全管理服务质量指标 指标 质量指标
一引言 何为信息安全管理服务质量指标
在信息安全管理服务中使用指标的目的如下：
1. 业务目标与信息安全管理之间的协调一致
l 为信息安全管理流程和业务流程提供度量依据。
l 向利益相关者通报IT服务管理的情况。
l 帮助利益相关者理解信息安全管理的性能和事项。
2. 帮助业务运营达标
l 为信息安全管理提供战略指导。
l 帮助达到ISO27001、信息安全等级保护或其他认证。
l 满足关键成功要素（CSF）。
l 最大程度减少业务中断。
3. 为实现卓越的信息系统运营提供战略推动力
l 度量信息系统和信息安全管理的绩效。
l 控制信息安全管理流程。
l 在战术层面管理信息安全管理。
l 最大化信息系统生产率和绩效。
l 证明信息安全管理部门的价值创造。
业务目标与信息安全管理之间的协调一致
信息安全管理服务质量指标设计的目的是是信息系统服务于业务需求协调一致，其他的控制和质量管理体系，如COBIT和IS09000也是如此。这些主张的共同点是必须理解：业务目标、各个利益相关者的需求，以及信息系统为了帮助达到这些目标和提供所需服务而承担的角色。
1为信息安全管理流程和业务流程提供度量依据。
现代企业和政府单位依赖信息系统了解其业务流程表现。信息系统在三个方面承担着重要的角色。
第一，现今信息系统通常负责为业务流程提供财务、物流和其他直接服务。相应地、各种测量值通过电子的管理报表提供各个业务部门——如，提供销售团队的SAP销售报表，提供交管部门的交通事故报表。
第二，信息系统为服务目录中罗列的业务流程提供服务，其交付细节由服务水平管理经理和业务客户之间的各种服务等级协议来规定。这些测量值呈现为相对于关键绩效指标而言的异常报告，而这些关键绩效指标是以判断达成的各种服务等级为基础的。这些报表中的趋势显示信息系统向高标准看起，在不断地改进其服务提供能力。
第三，信息系统本身是一个重要的业务流程。因此，关于信息系统流程运维的报表也是企业所必需的管理信息的一部分，这些指标构成本文内容的主体，它们是基于对信息安全管理服务流程的运维来进行测量。
然而，这些信息属于业务信息，详细的技术指标是不适宜的。以业务目标为主的信息安全管理最重要转化为货币量度，因此，此类信息安全的管理最重要的是投资回报率、运用投入回报率、经济增加值之类来表达此类信息安全管理的服务质量指标。
2向利益相关者通报IT服务管理的情况
当业务上的某件事情成为测量的对象时，尤其是这个测量结果成为一名经理和一个团队的责任时，被测量的人的行为将随之改变。
如果指标设计合理，且这些指标的目的与业务要求相吻合，则行为将倾向于与业务需要相吻合。可见，一个设计合理、测量方式合理的指标是一种控制方式。如果一项指标设计不合理，与实际业务需要不吻合，或者测量的方式不正确，那么这个“控制”就可能吧行为导向相反的方向，并损害业务的运行。
“节能减排”是“十一五”要求，但是不少地方制度把用电多少当做考核的指标。这样就导致了“拉闸限电”的策略出现。这是一个不错的例子。一是它显示了人们的足智多谋——分毫不差地制造出所要求和所测量的结果，而不是实际追求的结果，对规则咬文嚼字而不是按规则的内在精神行事。这个例子还表明一项测量指标的设计必须要做到对真正重要的对象进行测量。例子中测量的是用电量。然而，更恰当的很可能也是更困难的是测量用电的用途和用电情况。最后一个问题是没有对流程本身测量，因而，当地方电力管理人员“发明”出“拉闸限电”的方法来满足“节能减排”指标。
还有就是，测量指标必须是可达到的，对那些达到和超越指标的人要予以认可和赞扬。
3帮助利益相关者理解信息安全管理的性能和事项
沟通信息安全管理的一个关键部分。如果各利益相关者通过测量指标而获得信息，他们可以通过支持这种公开性和透明度以及对改进的关注来为企业的成功做贡献。
这使得关于测量指标、测量结果以及这些结果对于利益相关者所接受的服务而言是什么的沟通成为可能。各利益相关者都有必要参与信息系统的界定，并满意于积极参与所看到的结果。
沟通时一个双向的过程，因而要综合各个利益相关者的要求，并使他们自己自始至终地参与，以求服务交付和流程运行的改进。
为了把这件事情做得妥当，具体行动时候要精心构建一个沟通计划，并在其完成与评估的过程中寻求各利益相关者的协助。
客户[/b]
在本文中，当用到“客户”这个词时，一般是指一项服务的购买者，无论其实内部购买者还是外部购买者。在本节，我们指的是业务的最终客户。归根结底，所有的业务努力都应该指向最终客户。信息系统为业务流程提供支持职能，但有时信息系统的贡献为企业所体验的同时，也为客户（最终客户）所体验。
这些情形下，为了确保我们对企业所做了有效的贡献，企业必须测量所有最终客户的满意度。然而，这项测量必需敏感地对待。如果调查太过频繁，这件事情本身对客户来说将变成一个负面因素。如果我们不以一定的频率征求有关我们做的如何的意见，则存在长期不知晓的服务事故（以致足以严重地影响客户满意程度）的危险。
使用者[/b]
由于使用者不参与服务条款的谈判，也不支付费用，他们不是信息系统的直接客户。然而，作为利益相关者，他们对服务的满意度是至关重要的。如果使用者不满意提供他们劣质的服务，最终我们的客户也不会满意。
员工[/b]
信息系统部门内部员工有交付服务流程的责任。相应地，信息主管部门有责任提供良好的工作条件，包括公布的考核与报酬。
董事会[/b]
作为利益相关者的管理高层和董事会有着特别的需要。为了企业的发展，他们需要对任何可能造成严重火锅的事故作出预警，以便采取紧急的纠正行动。与董事会之间开发而透明的沟通，有助于及早发现这些事故，以免变得难以收拾。
其他利益相关者（如政府、股东）[/b]
虽然这些利益相关者对企业是重要的，恰当地与它们沟通也是董事会的责任。如果信息系统某些讯息可能让这些利益相关者感到称心如意，或者引起它们的警觉，则首先应当报告董事会。这样的话，董事会就能够决定恰当的沟通渠道和方式。
二 为什么需要指标
1. 作为仪表指标
2. 作为控制指标
3. 指标与创新
4. 成本
5. 效益
三 何处使用指标
信息安全管理软件提供了很多可能的指标，其中多数对于相应部门或运行相应流程人来说是相当有趣的。如果这些指标被作为唯一的依据，那么就成了“尾巴摇狗”。这时，组织所得到的只不过是软件设计者的个人见识，而不符合业务与IT相一致的要求。
因此，一定要先设计好组织的流程，然后再设计出指标来测量这些流程。之后，才能决定如何用软件实施。
由于指标被设计出来是为了让组织掌握自己的命运，因而，必须有人对这些指标负责。如果同一项指标由两个人负责，就意味着没有人负责，因此其中一个人的行动可能会阻止另一个人达成其所期望的结果。
使用流程驱动的信息安全管理，无论使用信息安全管理水平、六西格玛、COBIT，还是三者同时使用，重要的是区分个人、组织或部门以及流程。要想一项指标成为一个成功的控制，它必须是某一个人——一个具体的个人——的责任，这个人必须有必要的权威能够影响到这项指标的结果。正如克努特王的故事告诉我们，让某个人对大海潮水负责是没有意义的，除非这个人有影响潮水的能力！
对于每一项指标，都由必要确定负责人。是一名部门经理呢，还是一位没有直接下属的指定的流程负责人？
部门[/b]
在信息安全管理中，每一个组织都要有的两个明显的部门是一个负责指标的定制和审计，另一个负责指标的实施。
流程[/b]
信息安全管理的许多流程不是由一个单独的部门来运行整个流程，而是要跨越多个部门和组织来提供端到端的服务。对这样的流程负责人就是这个流程的责任人，他必须有权威确保流程指标被达到，即使只有影响管理的权威。
有一点值得再次强调。人们对批评是非常敏感的，无论是真正的批评还是想象中的。表现逊色的流程，如果被指标检验出来，是一个改进的机会。它们不应该成为对人的攻击！这一点在沟通中一定要予以强调。
四 谁应当使用指标
指标所包含的细节程度决定了它们的有用程度。太多的指标将花费太长的时间去理解。另一方面，涂改细节太少，则可能错失重要的趋势。本节为了在这两个极端之间求的平衡，提出小型的、易理解的指标组合，力求把握流程的核心职能。
1， 管理层
通过改变系统能力或修订流程运行来防范和消除指标趋势所揭晓的未来危险，所投入的精力要远远低于危机到来时的仓促应战。
2， 流程管理经理
以往的信息安全管理实践中的做法是奖励危机时刻挺身而出的勇敢的救火队员，而不是把奖励留给防患于未然的人。这种文化深植于很多组织之中，难以治愈。
3， 员工
当我们对我们的未来拥有更大的控制时，我们的感觉良好、业绩更佳、心情轻松，所有的人莫不如此。恰当地参与指标设置和谈判过程的员工，在受到同样的这些指标的测评时，将感到有更大的责任做的更好。尽管这种士气上的变化似乎难以捉摸，但是它对企业利润的贡献是确定无疑的！
五 如何使用指标
1. 测量频度
2. 测量对象
3. 流程控制
4. 流程导向
5. 会计计量
六 指标设计
在进入具体指标的细节之前，有必要理解进行指标设计所包含的过程。否则的话，就不可能有一套可行的指标，不管它们看起来如何吸引人。
当首次在信息安全管理部门的内部和外部讨论指标体系时，有必要讨论这些原则，以便人人都理解为什么流程要得到遵从，结果会怎样。
1. [/b]基本概念[/b]
当设计一项指标时要考虑指标的测量流程和结果表达形式，但是当你把这项指标投入使用时，就意味着你已经确定了使用这项指标对你的组织是最为有利的。如果你按照“有什么就用什么”的思想使用指标，你其实并不知道软件的设计者为你做出了什么决定。这样你可能觉得省心，但是对你的组织可能是非常错误的。
最好的解决方案是自己设计指标，然后了解你的软件所提供的指标是怎样能够按你的需求与你的工作相适配。本节讨论讨论当你就使用怎样的指标进行决策时，需要考虑哪些方面。
2. [/b]设计原则[/b]
2.1 SMART
缩略语SMART代表明确性（Specific）、可衡量性（Measurable）、可达到性（Achievable）、实现性（Realistic）和及时性（Timely），它被应用到许多不同的业务流程之中，是一组可用性与所有实施之前的指标的有用的问题。
2.2 KISS
KISS(Keep It Simple Stupid)是一个不雅的缩略语，意思是“保存傻瓜式的简单”，但不失重要性。如果指标体系没有得到清晰的解释，怎样达到它们没有很好的理解，那么受到抵制、拒绝、心灰意懒以及寻找借口的大门就任然敞开的。
有些人具有逻辑严谨的世界观，这个在信息安全管理领域非常有用，因为复杂的信息安全问题需要细致、严密的分析。然而这些对于指标体系的设计者来说又存在着危险，就在于它可能导致试图同时衡量多个事项的指标。
明智一些的做法是退后一步，询问重要性到底何在。是每一个问题的事故数量吗？是问题的重要程度吗？变更请求本身是重要的，还是他们被用来作为问题解决过程的衡量？
2.3 GQM
指标在应用开发领域由来已久。GQM是一种建立指标体系的方法，用来确定对一个软件开发项目来说需要哪些指标。
2.4 MAP
MAPE是一种统计方法，可以帮助确定预测是否可靠。对于现有的历史数据，例如，你的服务台在过去6个月的测量结果，以及你所选择的预测方法，你可以用MAPE公式来测试器可靠性。如果你的MAPE值小（远低于40%），那么你的预测可能是足够可靠的。计算MAPE值的公式如下。
MAPE=
也就是说，预测值与真实值之差的绝对值除以真实数据得到的百分数求和，再除以值得个数。
2.5 客户关系图
3. [/b]设计要求[/b]
----=>待续