专利名称:安全成熟性评估方法
背景技术:
信息安全性包含防止信息无论是无意还是有意的未经授权公开、传递、修改或破坏。由于电子商务、电子商业、通用电子邮件和万维网访问以及完全公开的安全性开发的趋势,使得信息安全性已经成为机构普遍关心的问题。因此,机构不断尝试在团体架构中应用信息安全性原则。
为了使机构能够在团体架构中应用信息安全性原则,已经开发了许多信息标准和工具。一种广泛被接受的标准BS7799/ISO17799由英国标准协会(BSI)开发并为国际标准化组织(ISO)采纳。BS7799/ISO17799标准是概述信息安全性方面的最佳模式实施的一组综合控制。BS7799/ISO17799的目的是用作确定各种系统和机构的适当信息安全策略的单一参考点。BS7799/ISO17799标准包括10个部分,每个部分针对信息安全性的特定领域。参见“ISO17799安全标准ISO17799 符合性和定位”,http//www.securityauditor/net/iso17799/。
管理对BS7799/ISO17799的符合性的过程是一项不小的任务。因此,已经研制了许多风险分析和风险管理的产品来帮助机构符合BS7799/ISO17799标准。这样一种产品是COBRA,它由C&ASystems,Inc.研制。COBRA用于使评估过程半自动化。COBRA利用一系列在线调查表来获得关于当前安全策略的信息。利用来自调查表的答案,COBRA相对于BS7799/ISO17799标准的各部分,根据合格/不合格来建立提供与机构的当前符合性定位有关的信息的报告。
已经研制用于使机构能够在团体架构中应用信息安全性原则的另一种工具是系统安全工程能力成熟性模型(SSE-CMM)。SSE-CMM源自最初为软件开发创建的软件工程协会(SEI)能力成熟性模型的原理。SSE-CMM描述必须存在以确保良好的安全工程的机构安全工程处理的主要特性。SSE-CMM没有规定例如BS7799/ISO17799的处理或标准,而是采用捕捉工业中一般观察到的实践的模型。另外,SSE-CMM基于一种成熟模型,它定义机构的整个生命周期的具体目标和实施。此外,SSE-CMM还定义机构中的安全工程的整体评估过程和职能。参见“系统安全工程能力成熟性模型-模型和评定方法概述,1999年4月”,http//www.sse-cmm.org/。从应用SSE-CCM获得的评估通常没有与上报成熟性等级的报告工具相关。
发明内容
一般来说,在一个方面,本发明涉及用于评估机构的信息安全策略和实施的方法,其中包括确定与信息安全策略及实施相关的风险;收集关于信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分;利用该评分来生成校正活动的列表,执行校正活动列表以创建新的安全性信息策略和实施,以及监测新的安全性信息策略和实施。
一般来说,在一个方面,本发明涉及用于评估机构的信息安全策略和实施的设备,其中包括用于确定与信息安全策略及实施相关的风险的部件;用于收集关于信息安全策略及实施的信息的部件;用于利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分的部件;用于利用该评分来生成校正活动列表的部件,用于执行校正活动列表以创建新的安全性信息策略的部件,以及用于监测新的安全性信息策略的部件。
一般来说,在一个方面,本发明涉及用于评估机构的信息安全策略和实施的计算机系统,包括处理器、存储器、输入部件以及存储在存储器中的软件指令,其中所述软件指令用于使计算机系统在处理器的控制下,执行以下步骤确定与信息安全策略及实施相关的风险;利用输入部件收集关于信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分;利用该评分来生成校正活动的列表,执行校正活动列表以创建新的安全性信息策略和实施,以及监测新的安全性信息策略和实施。
通过以下描述以及所附权利要求书,本发明的其它方面和优点会明显。
图1说明一种典型的计算机系统。
图2表示流程图,详细说明根据本发明的一个实施例的安全成熟性评估方法。
图3说明根据本发明的一个或多个实施例的安全成熟性评估上报工具报告的一部分。
图4表示流程图,详细说明根据本发明的另一个实施例的安全成熟性评估方法。
具体实施例方式参照附图描述本发明的示范实施例。在所有附图中,为了一致性,相同的项目由相同的参考标号表示。
在本发明的以下详细说明中,阐述许多具体的细节,以便更透彻地了解本发明。但是,本领域的技术人员清楚,即使没有这些具体的细节,也可实施本发明。在其它情况下,没有详细描述众所周知的特征,以免本发明不明显。
本发明涉及用于评估机构的安全成熟性的方法。此外,本发明还涉及利用安全性评估矩阵来评估机构的安全成熟性。另外,本发明还涉及把安全性评估矩阵基于BS7799/ISO17799标准以及能力成熟性模型(CMM)。此外,本发明还涉及利用安全性评估矩阵提供面向活动的定量结果的方法。另外,本发明还涉及把机构的安全成熟性与预定目标进行比较、或者与另一个时间点上同一个机构的安全成熟性进行比较、或者与另一个机构或管理机构允许的安全成熟性等级进行比较的方法。
本发明实际上可以对任何类型的计算机实现,而与所使用的平台无关。例如,如图1所示,典型的计算机(28)包括处理器(30)、相关存储器(32)、存储装置(34)以及当今计算机典型的其它许多元件和功能性(未示出)。计算机(28)还可包括例如键盘(36)和鼠标(38)等输入部件以及例如监视器(40)等输入部件。本领域的技术人员知道,这些输入和输出部件可在可访问的环境中采取其它形式。
安全成熟性评估(SMA)方法包含五个不同阶段(1)管理认知和承诺,(2)安全成熟性评估,(3)校正活动计划(CAP),(4)校正活动计划执行(CAPE),以及(5)进行监测。下面更详细地说明上述阶段中的每个。本领域的技术人员知道,用于表示这些阶段的名称可以改变,而没有改变本发明。
图2表示流程图,详细说明根据本发明的一个实施例的SMA方法。通过确保机构的管理是知道的并承诺改善机构的信息安全性实施和策略(步骤100),开始SMA方法。然后,评估实体(例如进行评估的个体和公司)评估机构的信息安全性实施和策略(步骤102)。利用在步骤102得到的信息,评估实体形成校正活动计划(步骤104)。随后执行校正活动计划(步骤106)。如果该机构希望在执行校正活动计划之后继续进行监测(步骤108),则评估实体可继续监测机构的修订信息安全策略和实施(步骤110)。在继续监测之后,该方法可返回到步骤100,确保机构的管理仍然是知道的并承诺,或者在机构的管理继续是知道的并承诺时可能直接进入步骤102。如果机构不希望在执行校正活动计划之后继续进行监测(步骤108),则该方法结束。
管理认知和承诺阶段是SMA方法第一阶段,并用于提高被评估机构的管理中的认知,以及开始收集信息。明确地说,在评估认知和承诺阶段,评估实体收集信息以便了解机构的商业目标。此外,评估实体收集信息以便了解信息安全性方面的相关风险。例如,如果该机构正使用无线局域网(LAN),则与该机构正使用其中所有计算机均经由以太网电缆连接的传统LAN的情况相比,要考虑不同的信息安全性风险。另外,评估实体通过提供安全成熟性评估方法论及方法,来创建机构中的认知。在本发明的一个或多个实施例中,评估实体还可提供关于基础标准、如ISO标准的附加信息。在本发明的一个或多个实施例中,评估实体还可提供对于成熟性模型被应用于安全性评估时的概念的说明。
通过评估实体识别执行SMA所需的参与方来开始安全成熟性评估阶段。另外,评估实体与机构配合,确定用于执行SMA的效果和费用。还设置了时间线,允许评估实体和机构具有跟踪SMA进度的方式。这样,在本发明的一个或多个实施例中,评估实体可请求机构签署评估合同,以便确保机构贯彻SMA的承诺。一旦已经完成上述步骤,评估实体继续执行SMA。
评估实体通过收集详细说明机构的现行信息安全策略和实施的文档来开始SMA。在审查所收集的文档之后,通常经由与该阶段开始时识别的参与方的会谈得到附加信息。利用从收集的文档以及会谈中得到的信息,产生初步评分。初步评分详细说明各个部分的成熟性以及机构的信息安全性实施及策略的整体成熟性等级。
在本发明的一个或多个实施例中,利用安全性评估矩阵(SAM)产生初步评分。SAM定义各信息安全性项目的各个成熟性等级。SAM包括对应于BS7799/ISO17799标准信息安全性项目分组的61行以及定义成熟性等级的5列。从最低成熟到最高成熟排列的五个成熟性等级为初始(等级1)、重复(等级2)、已定义(等级3)、受控(等级4)以及优化(等级5)。对于行和列的各相交点,有一个图表定义具体的“能力成熟性”等级。包含在SAM的给定行中的这些图表表示相同信息安全性项目的连续能力成熟性等级。此外,SAM的一些行表示与单个信息安全性项目相关的连续能力成熟性等级,如BS7799/ISO17799标准的一段中所述。SAM的其它行可表示BS7799/ISO17799标准在独立段或部分中描述的信息安全性项目的连续能力成熟性等级。
在本发明的一个或多个实施例中,各信息安全性项目的项目定义包含在SAM中。该项目定义用于特定信息安全性项目的等级定义的符号表。此外,在本发明的一个或多个实施例中,SAM包含以下等级定义等级1-初始;等级2-未记录但通过指导进行传达;等级3-已记录;等级4-职责已定义;等级5-存在用于捕捉偏差和改善信息安全性以防止偏差的过程。此外,在本发明的一个或多个实施例中,SAM包含范围要求。范围要求表明对于机构经营的各方面中的哪些方面,必须应用SAM的特定行中提出的标准。
某个等级定义(例如等级1)与一个信息安全性项目(即SAM的特定行)的结合产生一个特定标准,本领域的技术人员可应用该特定标准来确定所评估的机构是满足、不满足或超过此信息安全性项目的成熟性的这个等级。此外,本领域的技术人员可把成熟性等级(等级1到5)的一般定义应用于特定的信息安全性项目,其方式是,它们能够容易地确定被评估的机构是满足、不满足还是超过这个安全性项目的这个成熟性等级,即使SAM的此行和列的交叉点处提出的特定标准不管什么原因不能直接应用于这个机构的情况中。
表1说明根据本发明的一个或多个实施例的SAM
表1安全性评估矩阵
参照表1所示的安全性评估矩阵,为了执行对给定项目的评估,评估实体只需要执行以下步骤(i)首先通过分类、然后再通过子分类找出可疑项目;(ii)阅读各成熟性等级下的描述,并确定是否满足该成熟性等级的要求;以及(iii)记录机构的当前信息安全策略和实施满足的那个项目的最高成熟性等级。
一旦已经完成初步评分,则可通过图形方式进行显示。在本发明的一个实施例中,利用安全成熟性评估上报工具(SMART)显示初步评分。SMART允许以细节级来显示初步评分、即显示全部61个元素,或者以概述级来显示初步评分、即仅显示10大类。此外,SMART允许机构把初步评分与预定目标、工业平均值或者与先前评估进行比较。另外,SMART报告的布局允许机构容易地识别要求改善的区域。
图3说明根据本发明的一个或多个实施例的SMART报告的一部分。第一列(10)列出大分类。第二列(12)列出各分类中的项目。第三列(14)以图形方式表示“评估能力成熟性”(ACM)(16)。第三列被细分为对应于以上列出的成熟性等级的五个等级(L1、L2、L3、L4和L5)。对于每个项目,ACM通过对达到适当等级的对应行打上阴影来表示。如果ACM没有到达目标(18)、即机构希望特定项目达到的等级,则出现表示目标(18)与ACM(16)之间的间隙(20)的更深的阴影。
例如,在图3中,分类2包含四个项目项目D(2)、项目E(4)、项目F(6)以及项目G(8)。明确地说,查看项目G(8),ACM(16)处于等级2(22),而目标(18)处于等级3(24)。因此,间隙(20)出现于包含项目G(8)的行的等级2(22)与等级3(24)之间。这样,机构可以容易地看到项目G(8)低于目标(18)。相反,机构可以容易地看到,项目F(6)的能力成熟性等级处于对此项目设定的目标(26),因此相对项目F(6)没有间隙。
回到SMA阶段,一旦已经完成初步评分,则评估实体与机构一起审查初步评分。在审查过程中,初步评分可根据需要被修订。一旦已经完成这个步骤,则产生最终评分。
在校正活动计划(CAP)阶段中,利用最终评分和安全性评估矩阵来产生CAP。所建议的活动针对改善具有间隙的项目,以及使这些项目达到目标。另外,CAP中的项目还可根据需要以及机构的资源确定优先级。在校正活动计划执行阶段,执行CAP。例如,如果SAM声明,使某个项目处于等级3,“策略被记录”,以及处于等级4,“有指定经理负责应用此策略”,则由此得出结论,如果机构被评估处于此项目的等级3,并且其目标是达到等级4,则CAP应当包括以下活动“任命经理负责此策略。” SMA的监测阶段包括定期的SMART报告,以便确保目标被满足及保持。此外,在此阶段中,评估实体可检测可能要求对安全性实施和/或策略的增加或变更的环境的变化。另外,在监测阶段中,评估实体可为在信息安全性事件的情况下听取机构的报告提供帮助。在本发明的一个或多个实施例中,监测阶段是可选的。
图4表示流程图,详细说明根据本发明的另一个实施例的SMA方法。首先,确定机构的商业目标(步骤112)以及信息安全性方面的相关风险(步骤114)。然后,收集关于机构的现行信息安全策略和实施的书面文档(步骤116)。然后通过会谈收集附加信息(步骤118)。利用在步骤112到118收集的信息,产生SAM评分(步骤120)。如果获得附加信息(步骤122),则可重复步骤120。如果没有获得任何附加信息(步骤122),则提出校正活动的列表(步骤124)。校正活动随后被确定优先级(步骤126)及执行(步骤128),从而产生经修改的信息安全策略和程序。然后监测经修改的信息安全策略和程序(步骤130)。如果存在信息安全性环境的变化,例如第一机构与第二机构合并导致第一机构的网络结合到第二机构的网络中,或者如果到达定期审查的时间(步骤132),则过程返回步骤116。
一个或多个实施例中,本发明可具有以下一个或多个优点。SMA方法是系统化方法,它包括一个过程、用于评估的详细方法(即SAM)以及上报工具(即SMART)。此外,SMA方法涵盖信息安全性的所有方面,并明确定义各等级对各项目的意义。另外,SMA方法是面向活动的。此外,以能力成熟性而不是合格/不合格来评估各项目,从而允许机构方便地度量该机构相对特定信息安全性项目所处的位置,以及在时间上或者针对目标测量进度,即使该进度是逐渐的。另外,安全性评估矩阵可用作建议列表,详细说明机构如何达到其信息安全性目标。
此外,SMA方法易于应用,因为各项目以及与该项目相关的各成熟性等级的对应标准集合是明确定义的。另外,SMA方法是灵活的,因为它可用于多种目的。例如,SMA可用于向客户或管理机构确定机构具有所需能力来执行某个任务。SMA还可用于在时间上内部监测机构的管理所决定的改善。SMA还可用于满足某个工业标准或者达到通过分析竞争的安全性能力所建立的目标。
此外,本发明产生机构的信息安全性实施和策略的客观评分,从而消除了评估过程的主观因素。
虽然针对有限数量的实施例描述了本发明,但已经了解本公开的本领域的技术人员知道,可设计其它的实施例,而没有背离如本文所公开的本发明的范围。因此,本发明的范围应当仅受所附权利要求书的限制。
权利要求
1.一种用于评估机构的信息安全策略和实施的方法,包括确定与所述信息安全策略及实施相关的风险;收集关于所述信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集信息以及与所述信息安全策略及实施相关的风险来产生评分;利用所述评分来产生校正活动的列表;执行所述校正活动的列表以创建新的安全性信息策略及实施;以及监测所述新的安全性信息策略及实施。
2.如权利要求1所述的方法,还包括当存在所述机构的信息安全性环境的变化时,利用所述安全性能力评估矩阵来产生新的评分。
3.如权利要求1所述的方法,还包括产生所述评分的图形评估。
4.如权利要求3所述的方法,其中,所述评分的所述图形评估通过安全成熟性评估上报工具来产生。
5.如权利要求4所述的方法,其中,所述安全成熟性评估上报工具包括在时间上跟踪所述安全性信息策略及实施的所述评分的功能性。
6.如权利要求4所述的方法,其中,所述安全成熟性评估上报工具包括以图形方式把所述评分与评分目标进行比较的功能性。
7.如权利要求1所述的方法,其中,所述所收集信息包括收集详细说明所述机构的信息安全策略及实施的文档。
8.如权利要求1所述的方法,所述安全性评估矩阵包括一种矩阵,在所述矩阵中,多列中的每一列表示成熟性等级,以及多行中的每一行表示特定信息安全性特征,使得所述多列其中之一与所述多行其中之一的交叉点为能力成熟性等级。
9.如权利要求8所述的方法,其中,所述多行中的每行为英国标准协会7799项目的分组。
10.如权利要求8所述的方法,其中,所述多行中的每行为概述信息安全性中的最佳模式实施的控制集合的分组。
11.如权利要求8所述的方法,其中,所述多行中的每行为国际标准化组织17799项目的分组。
12.如权利要求8所述的方法,其中,所述多列中的每列为根据软件工程协会的能力成熟性模型所定义的成熟性等级。
13.如权利要求9所述的方法,所述英国标准协会7799项目的所述分组包括英国标准协会7799分类。
14.如权利要求11所述的方法,所述国际标准化组织17799项目的所述分组包括国际标准化组织17799分类。
15.如权利要求1所述的方法,所述产生所述校正活动列表包括把所述安全性评估矩阵中的多个信息安全性项目的每个的机构的当前成熟性等级的描述与所述多个信息安全性项目的每个的预期成熟性等级的描述进行比较。
16.一种用于评估机构的信息安全策略和实施的设备,包括用于确定与所述信息安全策略及实施相关的风险的部件;用于收集关于所述信息安全策略及实施的信息的部件;用于利用安全成熟性评估矩阵、所收集信息以及与所述信息安全策略及实施相关的风险来产生评分的部件;用于利用所述评分来产生校正活动的列表的部件;用于执行所述校正活动的列表以创建新的安全性信息策略的部件;以及用于监测所述新的安全性信息策略的部件。
17.如权利要求16所述的设备,还包括用于在存在所述机构的所述信息安全性环境的变化时,利用所述安全成熟性评估矩阵来产生新的评分的部件。
18.一种用于评估机构的信息安全策略和实施的计算机系统,包括处理器;存储器;输入部件;以及软件指令,存储在所述存储器中,用于使所述计算机系统在所述处理器的控制下执行以下步骤确定与所述信息安全策略及实施相关的风险;利用所述输入部件收集关于所述信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集信息以及与所述信息安全策略及实施相关的风险来产生评分;利用所述评分来产生校正活动的列表;执行所述校正活动的列表以创建新的安全性信息策略及实施;以及监测所述新的安全性信息策略及实施。
19.如权利要求18所述的计算机系统,还包括执行在存在所述机构的信息安全性环境的变化时利用所述安全成熟性评估矩阵来产生新的评分的软件指令。
全文摘要
一种用于评估机构的信息安全策略和实施的方法,其中包括确定与信息安全策略及实施相关的风险;收集关于信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分;利用该评分来生成校正活动的列表,执行校正动作列表以创建新的安全性信息策略和实施,以及监测新的安全性信息策略和实施。
文档编号G06F12/14GK1714327SQ03815042
公开日2005年12月28日 申请日期2003年4月28日 优先权日2002年4月29日
发明者C·R·博杜安, C·R·埃利奥特 申请人:施卢姆伯杰·奥姆尼斯公司