《NIST評估資訊保安持續監控（ISCM）專案：評估方法》一文可用於：

· 為組織各風險管理級別（定義見NIST SP 800-39《管理資訊保安風險：組織、任務與資訊系統視角》）開展ISCM專案評估提供指導；

· 闡述了ISCM專案評估與重要安全概念和過程的相關性，如NIST風險管理框架（RMF）、全組織風險管理級別、組織治理、ISCM指標和持續授權；

· 介紹了有效的ISCM專案評估所具備的特點；

· 提出了ISCM專案評估標準（同時提供了參考來源），組織可採用這些標準進行ISCM專案評估，或基於這些標準制定適合本組織的評估標準；

· 介紹了透過評估程式進行ISCM專案評估的方法，該評估程式在相關配套檔案（包含ISCM專案評估要素一覽表）中進行了定義，用以開發可複用的評估流程。

目標讀者為持續監控資訊保安態勢和組織風險管理的個人，包括：

· 負責評審組織ISCM專案的個人，包括進行技術評審的管理人員和評估人員（如系統評估人、內部和第三方評估員/評估團隊、獨立驗證/認證評估師、審計人員和系統負責人）；

· 承擔任務/業務負責人或受託人責任的個人（如聯邦機構負責人、執行長和首席財務官）；

· 需要考慮ISCM功能的系統開發/整合負責人（如專案經理、系統負責人、資訊科技產品開發人員、系統開發人員、系統整合商、企業架構師、資訊保安架構師和通用控制元件提供方）；

· 承擔系統和/或安全管理/監督職責的個人（如高層領導人、風險管理人員、授權人、資訊長、首席資訊保安官），這類人員需在一定程度上依賴於持續監控過程中輸出的安全相關資訊做出基於風險的決策；

· 負責系統和安全控制評估與監控的個人（如系統評估人、評估員/評估團隊、獨立驗證/認證評估師、審計人員、系統負責人或系統安全主管）。

連載2內容介紹了對組織風險管理中的ISCM進行評估的基礎和型別。

ISCM專案評估的基礎

ISCM專案評估過程包含資訊收集和證據分析。組織可利用所收集的資訊和已確認的證據進行如下活動：

· 識別改進組織ISCM專案（包括ISCM戰略）的具體機會；

· 判斷組織領導或員工對ISCM專案以及該專案在風險管理流程中所處位置的瞭解程度；

· 判斷組織對ISCM專案在各級別的適用性以及ISCM功能在全組織整合度的瞭解程度；

· 識別組織安全和風險管理專案的潛在改進機會，包括ISCM能力與組織風險管理功能之間的聯絡；

· 重點考慮與組織ISCM專案相關的風險應對決策和相關風險緩解活動；

· 確認組織已解決系統和執行環境中識別出來的安全問題和缺陷；

· 支援監控活動和資訊保安態勢感知；

· 評估持續授權的準備情況；

· 為未來或計劃中ISCM專案的設計提供指導或評估現有ISCM專案中所做的計劃性變更。

ISCM專案評估會檢查通用控制措施、混合控制措施和特定系統控制措施的控制評估流程，判斷組織是否對控制措施進行了評估。本文並未要求在評估ISCM專案時評估單個控制措施或檢查控制措施的評估結果。必要時，組織可修改ISCM專案評估方案、增加評估要素來評估單個控制措施，也可引入控制評估流程。本章其餘部分將逐一解釋ISCM專案評估的各個環節。

1.1  ISCM專案評估標準

ISCM專案評估方案為評估ISCM專案定義了各個方面的評估標準（如安全狀況監控政策和程式、通用控制措施評估政策、配置管理程式、安全狀況報告）。本文件定義的評估標準以評估要素為核心。以下是評估要素示例：

· 有基於組織級ISCM戰略建立的ISCM專案。（評估要素1-002）

· 有組織級安全狀況監控政策。（評估要素1-008）

· 按照規定頻率和程式進行安全狀況監控。（評估要素3-007）

· 有組織級政策要求將ISCM結果輸入到風險評估流程。（評估要素1-011）

· 按照程式，對ISCM專案發現的風險進行響應措施確定和優先順序設定。（評估要素3-023）

· 有ISCM指標及相應評審程式。（評估要素2-024）

· 回顧ISCM戰略，確定如何提高已知和新型威脅響應能力。（評估要素6-005）

若ISCM相關陳述的來源跨越多個ISCM階段，則要分成多個評估要素，每個（唯一）要素對應一個流程階段。評估要素也會從其他ISCM功能和原則中提取，如開發人員、操作人員、評估人員根據經驗和聯邦指導所建議的功能和原則。

要素的選擇取決於評估範圍（見2.3.2節），評估範圍受2.1.2節中定義的風險管理級別或ISCM流程階段的限制。例如，評估範圍受限情況下，按如下原則選取評估要素：

· 對於1級風險管理，僅選擇適用於1級的要素。注意：適用於1、2級的要素和適用於1、2、3級的要素都在這個集合中。

· 對於“定義”和“立項”階段，從一覽表或組織定義的評估要素集中僅選擇適用於ISCM流程階段1和2的要素。注意：每個要素只適用於一個流程階段，多個階段連續進行，無論何種情況，“定義”階段均不可省略。

有些評估要素會評估RMF過程所輸出資訊（如當前風險水平、風險承受水平、威脅和漏洞資訊）的使用，因而在一定程度上超出了ISCM專案的範圍；有些要素則評估ISCM專案是否能夠輸出安全相關資訊（如安全狀況報告、安全指標），為組織實施RMF提供參考；還有些評估要素可能與SP800-53中某些控制措施重疊，但ISCM專案評估並不考慮或評估個別控制措施的有效性。

組織或評估人員可以基於本文件提供的評估要素和評估程式，制定自己的評估方案，輸出評估ISCM專案所需的證據，判斷評估標準所規定的ISCM要求是否已實現。

評估要素也可以視為對當前所開發ISCM專案的要求。組織可根據這些要素，設計ISCM專案所需的功能、政策和程式。評估要素還可用於評估ISCM規劃或設計，如ISCM技術架構、操作步驟和ISCM戰略。

1.2  ISCM專案評估要素來源

ISCM專案評估要素的來源包括：

· 2014年《聯邦資訊保安現代化法案》（FISMA）【FISMA2014】；

· 行政指令，包括白宮計劃和行政命令；

· 涉及ISCM要求的OMB備忘錄【OMB M-11-33】；

· OMB通知A-130（2016）【OMB A-130】；

· NIST風險管理指南和ISCM指南【SP800-37】【SP800-39】【SP800- 137】；

· 從ISCM、安全工程、網路安全、系統工程和資訊科技等集體從業經歷所獲取的專業經驗。

1.3  ISCM專案評估要素屬性

每一ISCM專案評估要素均有多個屬性，方便評估ISCM專案的實施情況。在ISCM專案評估要素一覽表中，這些屬性按列展示，具體如下：

· ISCM專案評估要素ID

· ISCM專案評估要素描述

· 風險管理級別

· 來源

· ISCM專案評估程式

· 備註 – 為ISCM專案評估程式屬性提供的補充資訊

· 級別說明

· 父要素 – 前一階段的ISCM專案評估要素

· 鏈標籤

· 鏈分類

1.4  ISCM專案評估要素追溯關係（鏈）

可將ISCM專案評估要素串成鏈，這樣，基於ISCM專案的特定方面（如安全狀況監控或ISCM指標），可方便地從一個要素追溯到與“父要素”屬性相關的一個或多個其他要素。評估要素串聯在一起，構成“鏈”，提供追溯關係。這種關係鏈可顯示跨越兩個或多個ISCM流程階段的要素的上下級關係。

評估人員針對各風險管理級別檢視或調查評估物件時，會發現透過追溯鏈來追蹤評估要素的路徑很方便。例如，針對某一評估要素鏈的工件或面談問題只關注某一特定領域（如ISCM戰略），有助於評估人員做出更有效的判斷。

圖2顯示了四個類似評估要素的追溯鏈，這些要素都來自“定義”階段（要素1-032）。各要素左上角的字串是該要素的唯一標識（第一個數字字元表示ISCM流程階段）。

圖2：追溯鏈示例

在圖2中的追溯鏈示例中，第一條鏈由評估要素1-032、2-016和3-019組成，涉及ISCM相關資料的完備性。第二條鏈由評估要素1-032、2-017和3-020組成，涉及ISCM相關資料的及時性。第三條鏈由1-032和3-041組成，涉及資料的自動化處理。第四條鏈由1-032和6-013組成，涉及使用這些資料回顧、更新ISCM專案。

在第一條鏈中（即1-032、2-016和3-019），第一個區塊與第二個相連，第二個又與第三個相連。評估人員可根據各評估要素的描述和具體情況，要求提供能反映資料完備性的工件。然後，基於這些工件對這三個評估要素做出判斷。第二條鏈中，子鏈（2-017和3-020）的父區塊（1-032）與第一條鏈相同，但這些區塊評估的是資料收集的及時性。評估人員可要求提供能反映資料收集及時性的工件。與第一條鏈一樣，工件隨後可用於對鏈中的三個評估要素做出判斷。第三條鏈的情況類似。評估人員可要求演示自動化功能或提供有關自動化的文件工件。對於第四條鏈，評估人員可要求組織提供工件，說明如何使用資料來評估ISCM專案。

1.5  ISCM專案評估特點

ISCM專案評估涵蓋ISCM專案的各個方面，以SP800-137中的原則為基礎。ISCM專案評估有如下特點：

1、一次只針對一個ISCM流程階段；

2、每一評估要素僅適用於一個ISCM流程階段；

3、使用現成的安全相關資訊（如組織級或系統級ISCM戰略檔案中的資訊）；

4、不評估控制措施的有效性，因為這超出了ISCM專案評估的範圍；

5、驗證ISCM專案是否能夠將自動和手動方法結合使用；

6、將每一評估要素追溯至權威來源或ISCM專業經驗；

7、評估人員或組織可根據需要新增評估程式，修改評估標準（即“評估要素描述”屬性），或新增、排除、修改評估要素的屬性欄位，如3.5節所述；

8、適用於任何組織，無論規模多大，結構有多複雜；

9、與技術、實現和獨特的組織或專案要求保持分離和獨立；

10、輸出結果，提出可行建議；

11、從戰略和專案角度進行評估，而不是糾結於ISCM期間發現的具體的、戰術性的問題；

12、足夠清晰，指導性夠強，保證評估方案可複用（也就是說，其他評估團隊進行後續評估也會產出相同結果）。

1.6 基於評估標準評估ISCM專案

ISCM專案評估方案包含一個框架，用於評估人員對評估要素做出判斷。本節概述了判斷的型別和方式。

對於ISCM專案的某一方面（如ISCM戰略或ISCM輸出/報告），根據相關評估要素進行評估。對於每個評估要素，評估人員選取預定義的判斷值，做出判斷。判斷值示例見下文。

對於ISCM專案評估範圍內的評估要素集，所有要素都要進行判斷。有關ISCM專案的評估範圍，見2.3.2節。

圖3顯示了使用可用資訊對評估要素進行判斷的過程。

圖3：判斷過程

1.7在特定風險管理級別評估ISCM專案

根據組織的規模和複雜性，可以從多方面（如多個任務/業務流程和/或系統）收集ISCM專案評估資訊，對其進行分析和彙總，最後形成單一組織風險管理級別的單個判斷。多個評估人員可以就組織的某一部分（如單個任務/業務流程、單個系統）輸出多個評估結果。

對於同一風險管理級別的多個ISCM專案評估（由多個評估人員進行），組織或評估人員決定如何將同一評估要素的多個判斷進行合併。例如，如果評估人員分別接觸各任務/業務流程，則可能會對同一評估要素做出多次判斷。分散式自評也是如此（見2.3.1節）。一個風險管理級別的評估結果可能存在顯著差異。對於某一組織風險管理級別，可用如下方法將判斷進行合併：

· 最壞情況：採用最壞情況的判斷（下限）作為最終結果。

· 少數服從多數：將多數人的判斷作為最終結果。如果兩種判斷勢均力敵，則依據預定義規則來確定最終結果（例如，平局時採用最壞情況判斷）。

· 評估人員確定：評估人員考慮所有因素，根據經驗做出判斷。

各評估要素按上述原則在對應風險管理級別分別進行判斷。

1.8 跨風險管理級別評估ISCM專案

SP800-137介紹了三個風險管理級別如何就ISCM的各個方面協同工作。根據組織的結構以及組織級和系統級ISCM戰略的實現方式，這些概念會適用於一個或兩個級別（通常是相鄰級別）或所有三個級別。因此，每個評估要素都會在一個或多個級別上進行評估。例如，一個要素可能只在級別1進行評估，而另一個要素則可能在級別1和級別2都要進行評估。對於每個要素，不管涉及幾個級別，都要將多個評估結果進行合併，最終形成唯一的判斷結果。

當兩個或三個級別的判斷需要進行合併以得到最終結果時，需要有方法、規則或演算法來保證這種操作有統一的標準可循。本文件並未提供合併判斷的方法，各組織可根據需要建立自己的合併機制。

每個相關級別都要進行一次或多次評估。如2.2.8節所述，在每個級別將結果合併為單一判斷。然後，根據組織定義的規則，將各級別的結果進行調整，形成唯一判斷。例如，要合併各級別評估結果，可基於後文三個表格中的其中一個決策矩陣採用如下規則：

規則1：如果評估要素只適用於單個級別，則該級別的判斷作為該要素的最終判斷。

規則2：如果評估要素適用於兩個級別，則使用表1、表2或表3中的決策矩陣。

規則3：如果評估要素適用於所有三個級別，則：

· 對2級和3級應用規則2；然後

· 對級別1應用規則2和規則3a的應用結果。

表1：合併兩個級別的判斷（無傾向）

表2提供了涉及兩個級別的另一種決策矩陣，該矩陣傾向於高階別，能大概反映組織的業務情況。該例中，規則2和規則3沒有變化；但是，不管應用哪種規則，結果都與表1矩陣不同。

低階別高階別滿足滿足滿足未滿足未滿足滿足未滿足未滿足

 

表2：合併兩個級別的判斷（傾向於高階別）

表3提供了涉及兩個級別的第三種決策矩陣，該矩陣傾向於低階別，更接近組織的實際情況。該例中，規則2和規則3沒有變化；但是，不管應用哪種規則，結果都與表1和表2矩陣不同。

低階別高階別組合判斷（傾向於低階別）滿足滿足滿足滿足未滿足滿足未滿足滿足未滿足未滿足未滿足未滿足

 

表3：合併兩個級別的判斷（傾向於低階別）

1.9 評分

評估分數表示ISCM能力對目標的滿足程度，反映組織的風險情況。基於評估要素做出判斷後進行評分，用數值描述判斷，最後得出評估結果。為每個判斷值分配分數，再基於各評估要素分值計算組織的最終分數。換言之，評估得分是所有要素判斷得分的總和。

基於該分數，組織領導可就ISCM專案做出明智決策，確定如何最佳化組織資源配置，以便改進專案，降低風險。評分操作非必選項，可與2.2.7節中討論的二元和多級判斷型別結合使用。可將全組織的ISCM專案評估分數彙總，計算出整個組織的最終分數。

ISCM專案評估實施

ISCM專案評估的首要目標是為組織提供ISCM專案改進建議，從而管理和降低組織所面臨的風險。ISCM專案評估過程有多種描述方法，包括評估型別和評估人員型別、評估深度和持續時間以及預期評估結果。

ISCM專案評估有兩種方式：第三方評估和自評。

第三方評估：第三方評估由獨立於被評估組織的第三方評估人員進行，分為以下兩種情況：

· 外部人員 – 評估人員來自獨立的外部組織。

· 內部人員 – 評估人員屬於組織，但就評估任務而言，獨立於被評估組織實體。

第三方評估通常要組織多次訪談，按以下方式進行：討論參與者的回答，得出並記錄達成一致的結果，例如由評估人員將結果輸入工具或結果庫。

自評：自評由被評估組織或子組織的內部人員進行，包括分散式評估和引導式評估。自評要求對目標形成客觀看法，這樣才能在ISCM專案開發早期揭示整個或區域性組織的ISCM能力的不足之處。

自評可分散式進行，方法如下：

· 多名參與者在一名內部員工的領導下同時評估各要素；

· 參與者將一組評估人員的判斷直接輸入到工具或庫中（不一定同時），然後無需討論就可以手動或透過工具（或半自動程式）計算最終結果。

引導式評估中，一名具有專業領域知識的員工或團隊引導小組討論，然後達成一致並記錄下來（例如，將回答輸入工具或結果庫）。

就流程階段而言，ISCM專案評估的範圍很靈活。評估可以在任何階段或邏輯停止點停止，可以評估區域性組織而不是整個組織。ISCM專案評估在評估範圍方面具有以下特徵：

· ISCM“定義”階段不能省略，以確保ISCM的基礎得到評估。

· ISCM專案評估逐步進行，可在任一階段後隨時停止。例如，評估可以：

     終止於“定義”階段（重點評估ISCM專案戰略）；

     終止於“立項”階段（重點評估ISCM專案設計）；

     終止於“實施”階段（重點評估ISCM專案實施）；

     跳過“回顧/更新”階段（過程改進階段，在較成熟的ISCM專案中進行）；或

     包含所有階段（完整ISCM專案評估）。

進行ISCM專案評估的目的是改善組織的安全態勢，降低風險。為此，ISCM專案評估要輸出具有可操作性的建議，從各方面改進ISCM專案，包括設計、實施、運營和治理等。ISCM專案評估的主要輸出是調查結果報告，該報告要提交給組織，包括以下內容（如適用）：

· 介紹資訊和背景材料（例如評估過程概述）；

· 詳細的記分卡（若使用評分）和/或概述組織ISCM專案有效性的其他形式的內容；

· 根據評估標準認定的實施效果良好的特定ISCM領域；

· 可以改進的特定ISCM領域；

· 改進ISCM的具體建議以及根據這些建議改進ISCM記分卡的具體方法。

此外，被評估組織的員工可單獨出具一份評估情況報告提交給評估機構，以便改進ISCM專案評估過程。

下次連載將介紹ISCM專案評估的組成部分和總體評估流程。

譯者宣告：

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。