本文提出了一種基于國家等級保護標準GB17895 的安全管理度量方法，闡述了度量
要素的提取及度量結(jié)果的量化等問題的解決方案，并依據(jù)ISO/IEC17799 標準設計了安全管理度量的核查表。
關鍵詞：信息安全安全管理度量 等級保護
信息安全“三分技術(shù)，七分管理”的思想目前已經(jīng)被廣泛接受，然而，在實際的安全實
踐中，安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的有效性難以度量。相對于安全技術(shù)，安全管理涉及到更多的領域，包含眾多的非量化的難以測量的因素，如規(guī)章制度的制定和培訓、管理措施的落實、財政預算的支持等。因此，信息安全管理有效性的度量繁雜乃至瑣碎，難度很大。具體實施過程中，對安全管理的度量主要依靠操作人員進行，度量的準確性往往依賴于操作人員的實踐經(jīng)驗、對相關標準的理解程度等。這些主觀因素往往導致度量結(jié)果不夠準確，不能真實反映安全管理上的弱點，也就不能有針對性的進行改進，從而降低了度量結(jié)果的可信度，進而影響甚至誤導信息安全的改進過程。
管理學上有如下原則：不能被測量的行為是不能被管理的。如何對安全管理進行有效的
量化度量，根據(jù)量化的度量結(jié)果進一步指導安全管理，提高信息安全能力和水平，目前已經(jīng)成為信息安全領域的一個研究熱點。
針對安全管理的量化度量問題，本文建立了信息安全管理度量的層次結(jié)構(gòu)模型，確定了
信息安全管理度量要素及度量指標，設計了相應的度量方法及輔助調(diào)查工具――度量核查表。