Information technology -- Security techniques -- Information security management —Measurements
信息技术—安全技术—信息安全管理—测量

该标准已于2009年12月正式发布。

标准介绍：

该标准旨在帮助组织测量、报告和系统性的改进其信息安全管理体系的有效性。

该标准为制订测量项和实施测量提供指南，以评估信息安全管理体系和ISO/IEC 27001规定的控制措施的实施效果。

标准目录：

0 介绍

 0.1 总则

 0.2 管理概述

1 范围

2 引用标准

3术语和定义

4 本标准的结构

5 信息安全测量概述

 5.1 信息安全测量的目标

 5.2 信息安全测量方案

 5.3 成功因素

 5.4 信息安全测量模型

  5.4.1 概述

  5.4.2 基本测量项目和测量方法

  5.4.3 派生测量项目和测量方法

  5.4.4 指标与分析模型

  5.4.5 测量结果与决策准则

6 管理职责

 6.1 概述

 6.2 资源管理

 6.3 测量培训、意识和能力

7 建立测量项目和测量

 7.1 概述

 7.2 定义测量范围

 7.3 识别需要的信息

 7.4 目标和属性选择

 7.5 建立测量架构

  7.5.1 概述

  7.5.2 测量项目选择

  7.5.3 测量方法

  7.5.4 测量工作

  7.5.5 分析模型

  7.5.6 指标

  7.5.7 决策准则

  7.5.8 利用相关者

 7.6 测量架构

 7.7 数据收集、分析和报告

 7.8 实施测量和文件

8 测量操作

 8.1 概述

 8.2 程序整合

 8.3 数据收集、储存和验证

9 数据分析和测量结果的报告

 9.1 概述

 9.2 分析数据和形成测量结果

 9.3 沟通测量结果

10 信息安全测量方案的评价和改进

 10.1 概述

 10.2 确定信息安全测量方案的评价准则

 10.3 对信息安全测量方案的监控、评审和评价

 10.4 实施改进

附录A（参考性）信息安全测量构建模板

附录B（参考性）测量构建举例

参考书目