专利名称:一种辅助评估信息安全能力成熟度方法和系统的制作方法
技术领域:
本发明涉及信息安全服务技术领域,尤其涉及一种辅助评估信息安全能力成熟度方法和系统。
背景技术:
成熟度是指对一种能力评估的量化方法。如评估软件开发过程能力,就采用CMMI来评估成熟度。信息安全服务企业在开展信息安全业务的过程中,往往需要对客户的信息安全能力进行评估,并协助客户进行信息安全规划。这往往需要企业充分了解客户的信息安全现状、发展规划、建设过程等信息,才能较为客观的评估出客户的信息安全能力,才能针对客户的实际问题,制定有针对性的规划案,切实解决客户信息安全建设过程中的难点和盲点。主要使用的技术包括1、客户关系管理系统(CRM- Customer Relationship Management)用于对客户的情况进行记录。2、知识库(Knowledge Base)。用于知识的分类、存储、共享、传承等。其中,包括客户的相关知识。3、专家调研系统。通过派驻资深的专家,对客户的信息安全情况进行调研。4、雷达图及格式文档。用于通过专家根据收集的各种资讯,以IS027001为基础,结合个人经验绘制客户信息安全成熟度雷达图,并在此基础上,通过与客户反复磋商、探讨,最终形成信息相关格式文档。然而,现有技术中的信息安全服务系统中的上述4个方面都存在一定的不足
A、客户关系管理系统(CRM- Customer Relationship Management)客户关系管理系统一般应用于市场相关部门,虽然会详细记录与客户经营活动相关的信息,但侧重点在经营活动,对客户的动态信息化状况、信息化规划、安全规划等往往较少涉及。此外,企业中的咨询顾问、实施工程师、技术人员、开发人员、情咨人员等,往往都从不同的维度对客户的情况有一定的了解,所以,客户关系管理系统无法完整的记录客户的相关信息。B、知识库(Knowledge Base)一般针对企业已有的文献、资料、邮件等内容进行知识管理,缺乏有效的机制,将分散在各个职能体系中的员工将了解到的客户信息进行知识记录。此外,对客户信息安全资讯的传承,一般依靠传统方式,客户经理或者咨询专家离职将导致许多重要的信息缺少传承。C、专家调研过程中,需要对客户方各个层级的员工进行调研,以求充分了解客户的信息安全现状、需求等,结合客户方的业务发展规划来进行信息安全能力成熟度评估。往往在调研过程中存在重复调研、调研内容不完善、调研结果欠真实等问题。特别是随着互联网的发展,客户的许多资讯可以参考互联网披露的信息。所以,靠短时间的专家调研实现对客户情况的洞悉往往不太可靠,应该结合日常工作,逐步积累、丰富客户的资讯,将销售、技术、研发、实施等各种人员所了解的信息进行有效汇总(结合审核机制,确保信息准确),来提高调研结果的准确度和调研效率。D、雷达图的绘制一般缺乏工具,往往凭借专家所掌握的资讯进行人工绘制,雷达图选取的项目虽然一般固定,但是项目指标范围、指标取值算法等缺乏约定的机制,这往往导致不同的专家评估出的结果差异很大;格式文档往往依托专家知识进行手工编辑,特别是对客户信息安全现状分析、建设路线图等需要参考大量的客户资讯,资讯的缺乏、资讯的不准确都直接影响格式文档的质量。有鉴于上述内容中提到的缺陷,现有技术有待改进和提闻。
发明内容
鉴于现有技术的不足,本发明目的在于提供一种辅助评估信息安全能力成熟度方法和系统。旨在解决现有技术中信息安全服务中存在的客户关系管理系统不足,知识库信息缺失、过度依赖专家系统等问题。本发明的技术方案如下
一种辅助评估信息安全能力成熟度方法,其中,所述方法包括以下步骤
51、预先定义一成熟度评估数据库,其包括信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件;
52、根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;
53、对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;
54、通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动输出评估报告。所述的辅助评估信息安全能力成熟度方法,其中,所述步骤S2中客户需求包括行业特点、监管要求和用户数量。所述的辅助评估信息安全能力成熟度方法,其中,所述步骤S2中具体包括以下步骤
521、根据客户需求和相应的安全目标,建立一客户信息安全成熟度评估模型;
522、根据所述客户信息安全成熟度评估模型,并结合用户输入的专家分析数据和客户访谈数据确定若干建设领域;
523、根据客户输入的企业数据信息在不同的建设领域选择相应的建设方向;
524、给不同的建设方向设置不同的评估指标。所述的辅助评估信息安全能力成熟度方法,其特征在于,所述步骤S4中还包括以信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息为纵坐标,以时间为横坐标,动态生成能力趋势分析图表。一种辅助评估信息安全能力成熟度系统,其中,所述系统包括
成熟度评估数据库,其包括信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件;
建模单元,用于结合客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模
型;
维护单元,用于对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;
评估单元,用于通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动生成评估报告。有益效果本发明提供的一种辅助评估信息安全能力成熟度方法和系统,采用预先定义一成熟度评估数据库,根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优,自动输出评估报告等方法步骤,实现统一的客户信息安全资讯收集、分类,并自动传承。新方案支持所有与客户打交道的内部人员共同建设和维护客户的信息安全资讯,降低信息安全能力成熟度评估的工作量和对专家水平的依赖,为准确进行评估信息安全能力成熟度提供了方便。
图1本发明一种辅助评估信息安全能力成熟度方法的流程图。图2本发明一种辅助评估信息安全能力成熟度方法中建立客户信息安全成熟度评估模型的方法流程图。图3本发明一种辅助评估信息安全能力成熟度系统的结构原理图。图4本发明一种辅助评估信息安全能力成熟度系统的具体应用实施例示意图。
具体实施例方式本发明提供一种辅助评估信息安全能力成熟度方法和系统,为使本发明的目的、技术方案及效果更加清楚、明确,以下对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。如图1所示,本发明提供了一种辅助评估信息安全能力成熟度方法,所述方法包括以下步骤
S1、预先定义一成熟度评估数据库,其包括信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件。首先需要预先定义一成熟度评估数据库,该成熟度评估数据库的定义包括以下几个方面的内容信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件。对于上述的信息安全建设成熟度模型,对其的定义一般参照IS027001、等级保护等国内外法规及标准来制定。如政府机构、央企等一般结合两者进行信息安全规划和建设。本方法先制定一些客户普遍接受的信息安全成熟度评估模型,按法规来划分的话,一般包括等保三级模型、等保三级增强模型、等保四级模型、等保五级模型等;按行业来划分的话,一般包括电子商务企业模型、大型制造业企业模型、金融企业模型等。针对某一个具体客户,一般经过调研和分析,选择其中一个模型即可。对于模型建设领域,对其的定义以IS027001为例,一般分为信息安全方针建设、信息安全组织建设、资产管理、人力资源安全、物理和环境安全、通信与操作管理、访问控制、系统的获取、开发和维护、信息安全事件管理、业务持续性管理、符合性管理等11个领域。不同的客户由于所处的行业、业务类型、监管要求、企业规模等不同,对建设领域的选择不同。对于建设领域的建设方向,在同一个建设领域,也有不同的建设方向来实现目标,如业务连续性保障方面,客户可以选择高成本高可靠的容灾备份机制,也可以选择低成本的容灾备份机制。对于建设方向的具体评估指标,对于建设方向的成熟度评估指标一般根据客户的业务形态、系统及数据的重要性、保密性、完整性要求,以及监管要求等,综合的评定。对于建设指标的具体取值范围及满足条件,针对不同的评估指标,也需要设置不同的取值范围和满足条件。如电子商务企业和制造业对数据的保密性、完整性要求存在质的差别,评估指标的取值范围自然就不同。S2、根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型。在上述步骤SI中完成预先定义一成熟度评估数据库后,根据客户需求和成熟度评估数据库的信息,建立客户信息安全成熟度评估模型。如图2所示,对于客户信息安全成熟度评估模型的建立具体包括以下步骤
S21、根据客户需求和相应的安全目标,建立一客户信息安全成熟度评估模型。根据获取的客户需求信息和相应的安全目标,建立一客户信息安全成熟度评估模型,所述客户需求包括行业特点、监管要求和用户数量。S22、根据所述客户信息安全成熟度评估模型,并结合用户输入的专家分析数据和客户访谈数据确定若干建设领域。根据上述步骤中建立的客户信息安全成熟度评估模型,结合用户输入的专家分析数据信息和客户访谈数据确定若干建设领域。S23、根据客户输入的企业数据信息在不同的建设领域选择相应的建设方向。根据客户输入的企业数据信息不同,如业务规划、财力情况等不同,在不同的建设领域选择相应的建设方向。S24、给不同的建设方向设置不同的评估指标和取值范围。S3、对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优。对于客户信息进行增量录入和维护,根据相关数据信息,进行指标值设定和调优,具体的首先,在服务客户过程中,咨询顾问、销售、市场、技术、研发等各种内部人员,可以通过统一的界面,对客户的情况进行增量录入和维护。包括客户的招标内容、产品目录、业务规划、人员流动、互联网舆情等等。其次,根据维护进去的各种资讯,支持人工\自动模式进行指标值设定和调优。S4、通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动输出评估报
生口 ο所述评估报告包括以下两种类型1、动态评估报告。系统通过选取成熟度建设模型、建设领域、建设方向、指标等信息,结合各种指标维护的过程数据,按照雷达图原理,自动生成评估报告,并支持动态生成。2、能力趋势分析图。支持按建设领域、建设方向、指标等纵坐标,以时间为横坐标,动态生成能力趋势分析图表。本发明提供的一种辅助评估信息安全能力成熟度方法,该方法通过预先定义一成熟度评估数据库,并根据根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动输出评估报告。从而实现了统一的客户信息安全资讯收集、分类,并自动传承,科学的定义了能力成熟度评估模型,避免不同专家给出不同的评估结果,保留了各种分析原始数据,并有固定的评估模型,支持动态实时评估,并且降低信息安全能力成熟度评估的工作量和对专家的依赖,为评估信息安全能力成熟度提供了方便。另外本发明还提供了一种辅助评估信息安全能力成熟度系统,如图3所示该系统包括以下部分
成熟度评估数据库10,其包括信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件。此成熟度评估数据库10中所含有的功能与上述方法步骤SI相同。建模单元20,用于结合客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;该建模单元20的功能与上述方法步骤S2中相同。维护单元30,用于对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;该维护单元30具体的功能与上述方法步骤S3中功能相同。评估单元40,用于通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动生成评估报告。该评估单元40的功能与上述方法步骤S4中功能相同。具体的,如图4所示,为本发明系统的具体应用实施例示意图,在具体实施方式
中,步骤Hl为在本系统中预先定义成熟度评估模型,该评估模型具体的包括以下部分信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件,步骤H2根据该成熟度评估模型中获取的信息来定义客户成熟度评估模型,根据所述客户信息安全成熟度评估模型,并结合用户输入的专家分析数据和客户访谈数据确定若干建设领域,根据客户输入的企业数据信息在不同的建设领域选择相应的建设方向,给不同的建设方向设置不同的评估指标和取值范围,在获取了客户的相关信息之后,在步骤H3中要对客户信息进行日常的维护,其中包括对客户信息进行增量录入和维护,根据相关数据信息进行指标值设定和调优;在步骤H4中根据上述步骤中获取的具体评估指标信息和各种维护的数据信息,按照雷达图原理,自动输出评估报告,评估报告有动态评估报告和能力趋势分析图两种形式。本发明公开了一种辅助评估信息安全能力成熟度方法和系统,通过预先定义一成熟度评估数据库,根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;通过获取的具体评估指标信息,结合各种维护的数据信息,自动输出评估报告,从而实现了的客户信息安全资讯收集、分类,并自动传承。本发明支持所有与客户打交道的内部人员共同建设和维护客户的信息安全资讯,并支持将杂乱的资讯按建设域、建设方向、指标等进行归类,便于分析。此外,新方案对客户信息的整理,弥补了 CRM系统、知识库的不足。科学的定义了能力成熟度评估模型,避免不同专家给出不同的评估结果,保留了各种分析原始数据,动态的趋势分析图,并能逐步增强客户进行信息安全建设的信心;并有固定的评估模型,降低信息安全能力成熟度评估的工作量和对专家的依赖动态实时评估信息安全能力,利于并发服务更多客户,为评估信息安全能力成熟度提供了方便。 应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
1.一种辅助评估信息安全能力成熟度方法,其特征在于,所述方法包括以下步骤:51、预先定义一成熟度评估数据库,其包括:信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件;52、根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;53、对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;54、通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动输出评估报告。
2.根据权利要求1所述的辅助评估信息安全能力成熟度方法,其特征在于,所述步骤S2中客户需求包括:行业特点、监管要求和用户数量。
3.根据权利要求1所述的辅助评估信息安全能力成熟度方法,其特征在于,所述步骤S2中具体包括以下步骤:521、根据客户需求和相应的安全目标,建立一客户信息安全成熟度评估模型;522、根据所述客户信息安全成熟度评估模型,并结合用户输入的专家分析数据和客户访谈数据确定若干建设领域;523、根据客户输入的企业数据信息在不同的建设领域选择相应的建设方向;524、给不同的建设方向设置不同的评估指标。
4.根据权利要求1所述的辅 助评估信息安全能力成熟度方法,其特征在于,所述步骤S4中还包括:以信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息为纵坐标,以时间为横坐标,动态生成能力趋势分析图表。
5.一种辅助评估信息安全能力成熟度系统,其特征在于,所述系统包括:成熟度评估数据库,其包括:信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件;建模单元,用于结合客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;维护单元,用于对客户信息进行增量录入和维护,并根据维护进去的数据信息,进行指标值设定和调优;评估单元,用于通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息,结合各种维护的数据信息,按照雷达图原理,自动生成评估报告。
全文摘要
本发明公开了一种辅助评估信息安全能力成熟度方法和系统,所述方法包括步骤预先定义一成熟度评估数据库,其包括信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件;根据客户需求和成熟度评估数据库,建立客户信息安全成熟度评估模型;对客户信息进行维护,并进行指标值设定和调优;通过获取的具体评估指标信息,结合各种维护的数据信息,输出评估报告,从而实现了统一的客户信息安全资讯收集、分类,并自动传承,科学的定义了能力成熟度评估模型,减少了对专家的依赖,为评估信息安全能力成熟度提供了方便。
文档编号G06Q10/00GK103077426SQ20131001730
公开日2013年5月1日 申请日期2013年1月17日 优先权日2013年1月17日
发明者吴申水 申请人:深圳市易聆科信息技术有限公司