21.2 安全管理能力級別說明

本章包含了可應用于所有信息系統安全管理保障控制類的通用實施。這些通用實施可在管理保障控制類評定中用于確定任何管理保障控制類的能力級別。通用實施依據公共特征和能力級別進行分組。
通用實施劃分為如下的能力級別：
a) 能力級別0：未實施；
b) 能力級別1：基本執行；
c) 能力級別2：計劃和跟蹤；
d) 能力級別3：充分定義；
e) 能力級別4：量化控制；
f) 能力級別5：持續改進。

21.2.1　能力級別0 – 未實施

未實施級別沒有公共特征。在這個級別中通常不能成功執行管理保障控制類中的基本實施。此管理保障控制類的工作成果或記錄不能證實基本實施的執行。

21.2.2　能力級別1 – 基本執行

管理保障控制類的基本實施通常被執行。基本實施的執行可能未經嚴格的計劃和跟蹤，而是基于個人的知識和努力。此管理保障控制類的工作成果或記錄可證實基本實施的執行。組織內的個人可識別出一個行動應被執行，并同意這個行動會在需要時執行。
本能力級別包含下列公共特征：
a) 公共特征 1.1 – 執行基本實踐：此公共特征的通用實施只是對于某些信息安全管理的方面依賴于工作人員的經驗及個人意識進行。然而，所進行工作的一致性、性能和質量存在不穩定性或者不可重復性；
1) GP 1.1.1 – 執行管理：對于某些管理保障控制類能夠進行管理，然而，管理實踐并不能夠完全覆蓋所需的管理保障控制類。
21.2.3　能力級別2 – 計劃和跟蹤
在這一級別上，對于管理保障控制類基本實踐進行了良好規劃和確定，建立了完整的安全策略-程序與管理制度-實施手冊和指南三層信息安全管理體系。該公共特征的通用實踐注重于組織標準管理的制度化，這些規劃和制度符合相關的標準和需求，使組織的信息安全管理工作有據可依，一個組織機構的標準管理可能需要裁剪以適合特定環境的使用，所以如何進行裁剪也應考慮。與非正式實施級別間的主要區別是管理保障控制類實施被良好規劃和指導。
本能力級別包含下列公共特征：
a) 公共特征 2.1—安全策略：此通用實踐引入了信息安全管理的總體方針。它的目的是建立在組織機構中信息安全保障工作的總體目標和指導性文件。安全策略規定了組織信息安全保障工作的工作內容，以及要求所有員工必須遵守安全策略，它應適用于組織內涉及IT的所有員工（例如：評估小組、網絡小組和威脅分析小組）。
1) GP2.1.1 —安全目標：設定組織的總體安全目標；
2) GP2.1.2 —安全組織：確定了信息安全保障的組織體系及其基本職責；
3) GP2.1.3 —懲戒：對違反安全策略的處罰；
4) GP2.1.5 —特定主題策略：對組織內所需的信息安全保障工作內容分主題確定；
b) 公共特征2.2 — 程序及管理制度文件：一旦建立安全策略，組織機構必須提供其安全策略的具體管理措施，為落實安全策略的工作內容，分配資源。
1) GP 2.2.1 – 對于組織所需的管理實踐，必須有文檔化的程序文件和管理制度來確定。
c) 公共特征2.3 — 實施手冊和指南、實施記錄：為了實施完成信息安全保障工作，有一套具體的指南文件。
1) GP 2.3.1 –用戶手冊及管理員手冊：對于某些具體的信息安全運行與維護工作，制定了操作手冊。

21.2.4　能力級別3 – 充分定義

在這一級別，根據制定的信息安全管理體系，能夠切實進行信息安全管理工作。完整實施的依據就是信息安全管理體系。這一級別與上一級別的主要區別在于對管理體系所規定和要求的工作切實進行，而且具有完整的實施記錄可追蹤。
該能力級別包括以下公共特征：
a) 公共特征3.1 – 知識保證：對于管理體系規定的工作已經分配到個人，且具有完成工作必備的專業知識和安全意識。
1) GP 3.1.1 – 管理標準化：為組織文檔化一個管理或管理保障控制類規范，描述了如何實現管理保障控制類的基本實踐。
b) 公共特征3.2 – 執行已定義的管理：此公共特征的這些通用實踐注重于充分定義管理的可重復執行。因此它們解決了針對缺陷的制度化管理的使用、管理結果的復查審閱，并解決了管理執行及其結果數據的使用。這些通用實踐構成了協調管理行動的重要基礎。
1) GP 3.2.1 – 使用充分定義的管理：在管理保障控制類的實施中使用充分定義的管理；
2) GP 3.2.2 – 執行缺陷復查：對管理保障控制類的相應工作能進行記錄；
3) GP 3.2.3 – 記錄數據：紀錄的數據能夠充分反映工作的成果和內容。
a) 公共特征3.3 – 協調管理實施
1) GP 3.3.1 –執行組內協調：在一個管理保障控制類行動組內的協調溝通；
2) GP 3.3.2 –執行組間協調：協調組織內不同組間的協調溝通；
3) GP 3.3.3 –執行外部協調：協調同外部組之間的協調溝通。

21.2.5　能力級別4 – 量化控制

收集、分析執行的詳細記錄數據。這將通向對管理能力和改進能力的檢查。這個級執行的管理是客觀的，工作結果的質量是可通過定性和定量方式測量的。這一級與充分定義級的主要區別在于定義的管理實踐進行審查并通過定性和定量的指標對管理實踐的效果進行驗證。
本能力級別包含下列公共特征：
a) 公共特征 4.1 – 建立可測量的指標：該公共特征的通用實踐注重于就組織管理實施效果而言建立可測量指標。因此這個公共特征提出了管理實踐評價指標的建立。這些通用實踐為客觀地執行管理提供了必須的基礎。
1) GP 4.1.1 – 建立評價指標：為組織標準管理保障控制類的實施效果建立可測量的評價指標。
b) 公共特征 4.2 –跟蹤執行：本通用實踐是用于搜集管理相關的測量，以此作為建立一個標準化的管理能力的基礎。修正行動用于精煉當前管理以確保創建最有效的標準。
1) GP 2.4.1 — 使用測量跟蹤：適用測量跟蹤管理保障控制類的狀態；
2) GP 2.4.2 — 采取修正措施：當管理與計劃間有重大差別時適當地采取修正措施。

21.2.6　能力級別5 – 持續改進

在這個級別上，基于組織的業務目標建立了管理有效性和效率的量化執行目標。針對這些目標的持續性管理改進是通過執行已定義的管理和創新性的思路和技術的量化反饋開始的。這一級與量化控制級的主要區別在于已定義的管理和標準基于對這些管理變化效果的量化理解，進行連續調整和改進。
本能力級別包含下列公共特征：
a) 公共特征 5.1 –改進組織機構的能力：該公共特征的通用實踐注重于在整個組織范圍內對標準管理的使用進行比較和在這些不同使用之間進行比較。當這些管理被使用時，尋找改進標準管理的機會，分析產生的缺陷以識別對標準管理的其它可能改進。因此，這個公共特征對管理的有效性建立了目標、標識對標準管理的改進以及分析對標準管理的可能變更。這些通用實踐構成了改進管理有效性的必要基礎
1) GP 5.1.1 – 建立管理有效性目標：根據組織的業務目標和當前管理能力，為改進標準管理保障控制類的管理有效性建立量化目標；
2) GP 5.1.2 – 持續改進標準管理：通過改變組織機構的標準管理保障控制類持續地改進管理，從而提高其有效性。
b) 公共特征 5.2 –改進管理有效性：該公共特征的通用實踐注重于制定處于受控改進的連續狀態下的標準管理。
1) GP 5.2.1 –執行因果分析：執行缺陷的因果分析；
2) GP 5.2.2 –減少差錯起因：有選擇的減少已定義管理中缺陷產生的原因；
3) GP 5.2.3 –持續改進已定義管理：通過改變已定義管理來連續地改進管理實施，以提高其有效性。