声明

本文是学习信息技术安全技术信息安全管理测量. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

范围

为了评估按照GB/T 22080-2008规定实施的信息安全管理体系（Information
Security Management
System，简称ISMS）和控制措施或控制措施组的有效性，本标准提供了如何编制测度和测量以及如何使用的指南。

本标准适用于各种类型和规模的组织。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 22080-2008 信息技术安全技术信息安全管理体系要求（ISO/IEC
27001：2005,IDT）

GB/T 29246-2012 信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC
27000：2009,IDT）

术语和定义

GB/T 29246-2012中界定的以及下列术语和定义适用于本文件。

3.1

分析模型 analytical model

将一个或多个基本和/或导出测度关联到决策准则的算法或计算。

[GB/T 20917-2007]

3.2

属性 attribute

可由人或自动化工具定量或定性辨别的对象特征或特性。

[GB/T 20917-2007]

3.3

基本测度 base measure

用某个属性及其量化方法定义的测度。

[GB/T 20917-2007]

一个基本测度在功能上独立于其它测度。

3.4

数据 data

赋予基本测度、导出测度和（或）指标的值的集合。

[GB/T 20917-2007]

3.5

决策准则 decision criteria

用于确定是否需要行动或进一步调查的，或者用于描述给定结果置信度的阈值、目标性能或模式。

[GB/T 20917-2007]

3.6

导出测度 derived measure

定义为两个或两个以上基本测度的函数的测度。

[GB/T 20917-2007]

3.7

指标 indicator

为由规定信息需要的相关分析模型导出的指定属性提供估算或评价的测度。

3.8

信息需要 information need

针对目标、目的、风险和问题的管理，所表达的必要见解。

[GB/T 20917-2007]

3.9

测度 measure

通过执行一次测量赋予对象属性的数或类别。

[GB/T 20917-2007]

术语"测度"是基本测度、导出测度和指标的统称。

例如，测量出的缺陷率与规划的缺陷率之间的比较，其差异就与指示一个问题的评估紧密联系在一起。

3.10

测量 measurement

使用测量方法、测量函数、分析模型和决策准则来获取有关ISMS和控制措施有效性信息的过程。

3.11

测量函数 measurement function

为组合两个或两个以上基本测度而执行的算法或计算。

[GB/T 20917-2007]

3.12

测量方法 measurement method

一般描述为，用于以指定的标度量化属性的逻辑操作序列。

[GB/T 20917-2007]

测量方法类型取决于用来量化属性的操作本质。可分为两种类型：

主观类—涉及人为判断的量化；

客观类—基于数字规则的量化。

3.13

测量结果 measurement results

处理某信息需要的一个或多个指标及其相应的解释。

3.14

对象 object

通过对其属性的测量所表征出来的项。

3.15

标度 scale

值的一个有序集合，连续的或离散的；或由属性所映射的一个范畴集合。

[GB/T 20917-2007]

依赖标度值之间关系的本质，标度类型通常定义为以下四种：

标称型标度—测量值是范畴化的。

顺序型标度—测量值是序列化的。

间距型标度—对应该属性等同的量，测量值具有该等同量的距离。

比率型标度—对应该属性等同的量，测量值具有该等同量的百分比，其中若该值为零，则对应无该属性。

这些只是标度类型的示例。

3.16

测量单位 unit of measurement

按约定定义和采用的具体量，其它同类量与这个量进行比较，用以表示它们相对于这个量的大小。

[GB/T 20917-2007]

3.17

确认 validation

通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。

3.18

验证 verification

通过提供客观证据对规定要求已得到满足的认定。

[GB/T 19000-2008]

又称为"符合性测试"。

本标准的结构

为了按照GB/T
22080-2008的4.2要求管理充分和适当的安全控制措施，本标准提供了评估ISMS要求的有效性所需要的测度和测量活动的解释。

本标准由以下部分构成：

信息安全测量方案和信息安全测量模型的概述（第5章）；
信息安全测量的管理职责（第6章）；
信息安全测量方案中实施的测量构造和过程（即计划和制定、实施和运行、改进测量：沟通测量结果）（第7-10章）。

此外，附录A提供了信息安全测量构造的一个示例模板，测量构造的组成部分是信息安全测量模型的元素（见第7章）。附录B使用附录A给出的模板，为特定的ISMS控制措施或过程提供了测量构造示例。

这些示例的目的是帮助组织实施信息安全测量，并记录测量活动和结果。

信息安全测量概述

信息安全测量目标

在信息安全管理体系的背景下，信息安全测量的目标包括如下几个方面：

a) 评价已实施的控制措施或控制措施组的有效性（见图1中的4.2.2 d)）；

b) 评价已实施的ISMS的有效性（见图1中的4.2.3 b)）;

c) 验证满足已识别的安全要求的程度（见图1中的4.2.3 c)）;

d) 在组织的总体业务风险方面，促进信息安全执行情况的改进；

e) 为了便于做出ISMS相关的决策，并证明已实施的ISMS所需的改进，为管理评审提供输入。

针对GB/T
22080-2008规定的规划-实施-检查-处置（PDCA）循环，图1给出了相关的测量活动及其它们周期性输入–输出之间的关系。图中每个数字代表GB/T
22080-2008中的相应章节。

siduwenku.com 专注免费分享高质量文档 {width=“6.6930555555555555in”
height=“5.679861111111111in”}

信息安全管理的ISMS PDCA循环中的测量输入和输出

组织为了建立测量目标，宜考虑下列因素：

a) 在支持组织的总体业务活动中，信息安全的角色及其面临的风险；

b) 适用的法律法规、规章和合同要求；

c) 组织结构；

d) 实施信息安全测量的成本和效益；

e) 组织的风险接受准则；

f) 需要进行比较的同一组织的ISMS。

信息安全测量方案

为了便于实现既定的测量目标，组织宜建立并管理一个信息安全测量方案，并且在组织的整体测量活动中采用PDCA模型。为了便于获得可重复的、客观的和有用的测量结果，组织也宜基于信息安全测量模型（见5.4）制定和实施测量构造。

为了识别改进已实施的ISMS的需要，信息安全测量方案和已制定的测量构造宜确保组织有效地达到目标和可重复测量，并为利益相关者提供测量结果。这些改进需要包括ISMS的范围、策略、目标、控制措施、过程和规程。

一个信息安全测量方案宜包括以下过程：

a) 测度和测量的制定（见第7章）；

b) 测量运行（见第8章）；

c) 数据分析和测量结果报告（见第9章）；

d) 信息安全测量方案的评价和改进（见第10章）。

宜通过考虑ISMS的规模和复杂性来确定信息安全测量方案的组织结构和运行结构。在任何情况下，信息安全测量方案的角色和职责宜明确赋予能胜任的人员（见7.5.8）。

信息安全测量方案所选取和实施的测度宜直接与一个ISMS的运行、其它测度以及组织的业务过程相关。测量应被纳入定期的运行活动或按照ISMS管理者所确定的时间间隔定期执行。

成功因素

为了有助于ISMS的持续改进，信息安全测量方案成功的一些因素如下：

a) 管理者有关适当资源的承诺；

b) 现有的ISMS过程和规程；

c) 为了提供一段时间内的相关趋势，一个能够获取和报告有意义数据的可重复过程；

d) 基于ISMS目标的可量化的测度；

e) 容易获取的、可用于测量的数据；

f) 对信息安全测量方案的有效性评价，以及实现所识别的改进；

g) 以一种有意义的方式，持续的定期收集、分析和报告测量数据；

h) 利益相关者使用该测量结果来识别改进已实施的ISMS的需要,
包括ISMS的范围、策略、目标、控制措施、过程和规程；

i) 从利益相关者那里接受有关测量结果的反馈；

j) 评价测量结果的有用性，并实现所识别的改进。

一旦信息安全测量方案被成功实施，它就可以：

1）证明组织对适用法律或法规的要求和合同义务的符合性；

2）支持对以前未被发现的或未知的信息安全问题的识别；

3）当说明历史和当前活动的测度时，协助满足管理报告的需要；

4）用作信息安全风险管理过程、内部ISMS审核和管理评审的输入。

信息安全测量模型

本标准采用的信息安全测量模型和测量构造的概念都是基于GB/T
20917-2007中的概念。本标准中使用的术语"测量结果"是GB/T
20917-2007中"信息产品"的同义词，本标准中使用的"测量方案"是GB/T
20917-2007中"测量过程"的同义词。

概述

信息安全测量模型是将信息需要和相关测量对象及其属性关联的结构。测量对象可包括已计划的或已实施的过程、规程、项目和资源。

信息安全测量模型描述如何将相关属性进行量化并转换为指标，以提供决策依据。图2给出了信息安全测量模型。

siduwenku.com 专注免费分享高质量文档 {width=“5.25in”
height=“3.716666666666667in”}

信息安全测量模型

第7章提供了关于信息安全测量模型的各个元素的详细信息。

本章接下来介绍模型的各个元素，并给出如何使用这些元素的示例。

表1至表4的示例中使用的信息需要或测量意图，是用于评估相关人员符合组织安全策略的意识状态（GB/T
22080-2008中控制目标A.8.2、控制措施A.8.2.1和A.8.2.2）。

基本测度和测量方法

基本测度是可获得的最简单的测度。基本测度是通过对一个测量对象所选择的属性应用一个测量方法而产生的。一个测量对象可能有许多属性，但只有部分属性可提供赋予基本测度的有用值。对于不同的基本测度，可使用一个给定的属性。

测量方法是一种逻辑操作序列，用于按指定标度量化属性。操作可能涉及到例如统计出现次数或观测时间推移之类的活动。

一个测量方法能应用于一个测量对象的多个属性。例如，测量对象可以是：

ISMS中已实施的控制措施的执行情况；
受控制措施保护的信息资产的状况；
ISMS中已实施的过程的执行情况；
已实施的ISMS责任人的行为；
信息安全责任部门的活动；
感兴趣方的满意程度。

一个测量方法可以使用来自不同源测量和属性的测量对象，例如：

风险分析和风险评估结果；
问卷调查和人员访谈；
内部和（或）外部审核报告；
事件记录，如日志、报告统计和审计轨迹；
事件报告，特别是那些产生影响的事件的报告；
测试结果，如来自渗透试验、社会工程、符合性测试工具和安全审计工具的结果；
与规程和方案相关的组织信息安全记录，如信息安全意识培训结果。

表1-4 给出了在以下控制措施上信息安全模型的应用：

“控制措施2"指的是GB/T
22080-2008的控制措施A.8.2.1管理职责（“管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力”）；被实施为"与ISMS相关的所有人员在被授权访问一个信息系统前必须签署用户协议”；
“控制措施1"指的是GB/T
22080-2008的控制措施A.8.2.2"信息安全意识、教育和培训”（“适当时，包括承包方人员和第三方人员在内的组织的所有雇员，应受到与其工作职能相关的适当的意识培训和组织方针策略及规程的定期更新培训”）；被实施为
“所有ISMS相关人员在被授权访问一个信息系统前必须接受信息安全意识培训”。

相应的测量构造包含在B.1内。

表1-4由不同列组成（表1有4列；表2-4有3列），其中各列被指定一个字母代号。每列中的方格被指定一个数字代号。字母和数字代号的组合被用于随后的方格，以便于参考之前的方格。箭头代表本示例中信息安全测量模型的个体元素之间的数据流。

为了测量以上描述的已实施控制措施所建立的对象，表1给出了测量对象、属性、测量方法以及基本测度之间关系的一个示例。

基本测度和测量方法示例

siduwenku.com 专注免费分享高质量文档 {width=“6.6930555555555555in”
height=“5.749305555555556in”}

导出测度和测量函数

导出测度是两个或两个以上基本测度的聚集。一个给定的基本测度可作为多个导出测度的输入。

测量函数是用于组合两个或两个以上基本测度，以生成一个导出测度的计算。

导出测度的标度和单位取决于组合的基本测度的标度和单位，以及测量函数组合这些基本测度的方法。

测量函数可涉及到多种技术，例如求基本测度的平均值、对基本测度进行加权、或给基本测度指定定性值。测量函数可使用不同的标度来组合基本测度，例如使用百分比和定性的评估结果。

就信息安全测量模型的应用，进一步涉及到基本测度、测量函数和导出测度等元素，表2给出了它们之间关系的一个示例。

导出测度和测量函数的示例

siduwenku.com 专注免费分享高质量文档 {width=“5.533333333333333in”
height=“6.316666666666666in”}

指标和分析模型

指标是一个测度，该测度依据一个分析模型，针对所定义的信息需要，提供所规约属性的一个估算和评价。指标是通过应用一个分析模型于一个基本和/或导出测度，并把它们与决策准则进行组合而获得的。标度和测量方法影响用于产生指标的分析技术的选择。

表3给出了信息安全测量模型应用的导出测度、分析模型和指标之间关系的一个示例。

指标和分析模型的示例

siduwenku.com 专注免费分享高质量文档 {width=“5.533333333333333in”
height=“6.316666666666666in”}

注：如果一个指标是以图形形式给出的，那么就要使之对残疾用户是可用的，或可用于单色拷贝。为此，宜尽可能使该指标包括颜色、暗影、铅字或其它可视化方法。

测量结果和决策准则

测量结果是基于确定的决策准则，通过解释适当的指标而产生的，并宜在评估ISMS有效性的整体测量目标的背景下来考虑。决策准则的目的是确定是否需要采取措施或进一步调查，同时用于描述给定测量结果的可信度。决策准则可适用于一系列的指标，例如基于在不同时间点获得的指标，进行趋势分析。

目标性能为组织或其部门提供了一种可用的、详细的性能规约。该目标性能来自信息安全目标（例如ISMS目标和控制目标），以及为了实现这些目标，需要建立和实现该目标性能。

表4给出了信息安全测量模型应用的指标、决策准则和测量结果之间关系的一个示例。

测量结果和决策准则的示例

siduwenku.com 专注免费分享高质量文档 {width=“6.508333333333334in”
height=“6.316666666666666in”}

管理职责

概述

管理者负责建立信息安全测量方案、吸纳利益相关者（见7.5.8）参与测量活动、接受测量结果作为管理评审的输入以及在ISMS改进活动中使用测量结果。

为了完成上述职责，管理者宜：

a) 确定信息安全测量方案的目标；

b) 制定信息安全测量方案的策略；

c) 建立信息安全测量方案的角色和职责；

d) 提供足够的资源来执行测量，包括人员、资金、工具和基础设施；

e) 确保信息安全测量方案的目标得以实现；

f) 确保用于收集数据的工具和设备能够得到适当维护；

g) 为每一个测量构造建立测量意图；

h) 确保测量就ISMS有效性和已实施的ISMS的改进需求为利益相关者提供充足的信息，包括ISMS的范围、策略、目标、控制措施、过程和规程；

i) 确保测量就控制措施或控制措施组的有效性和改进已实施的控制措施的需求为利益相关者提供充足的信息。

通过适当分配测量角色和职责，管理者宜确保测量结果不受信息拥有者（见7.5.8）的影响。这可通过职责分离来实现，或者可借助能够进行独立检查的详细文件来实现。

资源管理

为了支持测量必需的活动，例如数据收集、分析、存储、报告和发布，管理者宜分配和提供相应的资源。资源分配宜包括：

a) 负责信息安全测量方案的各个方面的人员支持；

b) 适当的资金支持；

c) 适当的基础设施支持，例如用于执行测量过程的物理基础设施和工具。

GB/T 22080-2008中5.2.1规定了提供ISMS实施和运行所需资源的要求。

测量培训、意识和能力

管理者宜确保：

a) 对已实施的信息安全测量方案，利益相关者（见7.5.8）在实现其角色和职责方面得到充分的培训，并且有能力执行其角色和职责；

b) 利益相关者了解其责任，包括为改进所实施的信息安全测量方案提出建议的责任。

测度和测量的制定

概述

为了评估已实施的ISMS和控制措施或控制措施组的有效性，并识别组织特定的测量构造集合，本章给出了如何编制测度和测量的指南。宜建立编制测度和测量所需的活动，并应建立相应的文件。活动包括：

a) 定义测量范围（见7.2）；

b) 识别信息需要（见7.3）；

c) 选择测量对象及其属性（见7.4）；

d) 制定测量构造（见7.5）；

e) 应用测量构造（见7.6）；

f) 确定数据收集和分析过程及报告（见7.7）；

g) 确定测量实施途经和相应的文件（见7.8）。

在建立这些活动时，组织宜考虑资金、人力和基础设施（物理的和工具）资源。

测量范围的定义

由于组织能力和资源的缘故，测量活动的初始范围将受限于诸如特定的控制措施、受特定控制措施保护的信息资产、管理者给出最高优先级的特定信息安全活动等因素。随着时间的推移，考虑到利益相关者的优先级，为了处理已实施的ISMS和控制措施或控制措施组的深层要素，测量活动的范围还将可能扩大。

宜识别利益相关者，并宜使其参与到测量范围的定义之中。利益相关者可以是组织内部的或外部的，例如项目管理者、信息系统管理者或信息安全决策者。宜确定用于强调单个控制措施或控制措施组有效性的特定测量结果，并与利益相关者进行沟通。

为了确保决策者有能力根据报告的测量结果有效改进ISMS，组织可考虑限制在给定时间间隔内向决策者报告的测量结果数量。因为报告的测量结果过多，会影响决策者集中精力和对未来改进活动进行优先级排序的能力。宜根据相应的信息需要及其相关ISMS目标的重要性来对测量结果进行优先级排列。

测量范围是与根据GB/T 22080-2008中 4.2.1 a)确定的ISMS范围相关的。

信息需要的识别

每一个测量构造宜至少符合一个信息需要。附录A给出了一个信息需要的例子，该信息需要始于测量意图，终于相关的决策准则。

为了识别相关的信息需要，宜执行以下活动：

a) 检查ISMS及其过程，例如：

ISMS策略和目标、控制目标和控制措施；
法律法规、规章、合同和组织上的信息安全需要；
GB/T 22080-2008中描述的信息安全风险管理过程结果。

f) 基于以下准则对已识别的信息需要进行优先级排序，例如：

风险处置优先级；
组织的能力和资源；
利益相关者的利益；
信息安全策略；
满足法律法规、规章和合同所需的信息；
相对于测量成本的信息价值；

g) 为优先级列表中所强调的测量活动，选择所需要的信息子集；

h) 建立所选的信息需要的文件，并与所有利益相关者进行沟通。

宜根据所选的信息需要实施所有相关测度，这些测度是应用于已实施的ISMS、控制措施或控制措施组的。

对象及其属性的选择

宜在ISMS整体背景和范围内识别测量对象及其属性。宜注意一个测量对象可能有多个可用的属性。

测量用的对象及其属性宜根据相应信息需要的优先顺序来选择。

赋予相关基本测度的值是通过对所选属性应用适当的测量方法获得的。这一选择宜确保：

能识别相关基本测度和适当的测量方法；
基于获取值和已制定的测度，产生有意义的测量结果。

已选属性的特征决定了使用何种类型的测量方法（如定性或定量），以获取赋予基本测度的值。

宜建立已选对象和属性的文件，并给出选择依据。

描述测量对象及其相应属性的数据宜用作赋予基本测度的值。测量对象的例子包括但不限于：

产品和服务；
过程；
GB/T 22080-2008（A.7.1.1
资产清单）中已识别的可用资产，例如设施、应用和信息系统；
业务单位；
地理位置；
第三方服务。

宜评审属性以确保：

a) 为测量选择了适当的属性；

b) 已确定了的收集数据能够为有效测量提供足够数量的属性。

宜选取仅与相应基本测度有关的属性。虽然属性的选择宜考虑在获取要测属性的难度，但不宜仅选择那些容易获得的数据或容易测量的属性。

测量构造的制定

概述

从7.5.2（测度选择）到7.5.8（利益相关者）给出了测量构造的制定方法。

测度选择

宜识别可能满足已选信息需要的测度。为了实施所选择的测度，宜足够详细地定义已识别的测度。新识别的测度可涉及到现有测度的改变。

基本测度的识别是与测量对象及其属性的识别密切相关的。

宜选择可能满足已选信息需要的已识别的测度。也宜考虑解释或规范测度必需的背景信息。

可以选择许多不同的测度组合（即基本测度、导出测度和指标）用于处理特定的信息需要。

已选测度宜反映信息需要的优先顺序。更多可用于选择测度的示例准则包括：

数据容易收集；
为收集和管理数据，人力资源具有可用性；
具有可用的适当工具；
基本测度支持的潜在相关指标的数量；
容易解释；
已制定的测量结果的用户数量；
该测度适合意图或信息需要的证据；
收集、管理和分析该数据的成本；

定义测量方法

宜为每个基本测度定义一种测量方法。测量方法通过把属性变成赋予基本测度的值来量化测量对象。

测量方法可以是主观或客观的。主观方法依赖于涉及人为判断的量化；而客观方法使用基于诸如计算的数值规则的量化，可通过人工或自动化手段予以实现。

测量方法通过应用适当的标度将属性量化为值。每个标度都有测量单位。只用同一测量单位表示的量可以直接进行比较。

对于每个测量方法，宜建立验证过程，并建立相应的文件。验证宜确保通过对测量对象的属性应用一个测量方法得到的、并赋给基本测度的值的可信度。需要确定有效值时，用来获取属性的工具宜被标准化，并在规定的时间间隔内对其进行验证。

宜考虑测量方法的精度，并宜记录相关的偏差或变化。

为了便于在不同时间赋给基本测度的值是可比较的，赋给导出测度和指标的值也是可比较的，测量方法宜在整个时间内是一致的。

定义测量函数

宜为每个导出测度定义一个测量函数，应用该函数对两个或两个以上基本测度进行赋值。通过测量函数把对一个或多个基本测度的赋值变成对一个导出测度的赋值。在某些情况下,
除了导出测度外，基本测度可直接作为分析模型的输入。

测量函数（例如一个计算）可能涉及多种技术，例如计算所有基本测度的赋值的平均值、对基本测度的赋值进行加权，或在把基本测度聚合成导出测度之前，给基本测度的赋值指定定性值。测量函数可采用不同标度来组合基本测度的赋值，例如采用百分比和定性评估结果。

定义分析模型

宜为每个指标确定分析模型，以便将一个或多个赋给基本测度和（或）导出测度的值转换成对该指标的赋值。

分析模型以一种对利益相关者产生有意义输出的方式，对相关测度进行组合。

当定义分析模型时，也宜考虑应用于指标的决策准则。

有时，一个分析模型可能是相当简单的，只是把一个导出测度的值转换成赋予一个指标的值。

指标的生成

通过聚合赋予导出测度的值来产生赋予指标的值，并基于决策准则解释这些值。对于报告给用户的每个指标，宜定义指标表达格式，作为报告格式的一部分（见7.7）。

指标表述格式将直观地描述测度，并提供指标的逐字说明。指标表述格式宜客户化，以便满足客户的信息需要。

定义决策准则

宜基于信息安全目的，对每一个指标，定义相应的决策准则，以便为利益相关者提供措施方面上的指南。这一指南宜基于指标，强调期望的进展以及初始改进措施的阈值。

决策准则建立了一个性能目的，通过这一性能目的来度量测量方案的成功（见5.3），并提供有关解释该指标是否接近该目标的指导。

宜对ISMS过程和控制性能、达到的目的以及对该ISMS的有效性评估等每一项，建立相应的性能目的。

管理者在初始数据收集之前可以不建立有关指标的性能目标。一旦识别了基于初始数据的纠正措施，那么就可以为一个特定的ISMS定义实际可用的决策准则和实施里程碑。如果在一个点上没有建立决策准则，那么管理者就宜评价该测量对象及其对应的测度是否为组织提供了所期望的值。

如果历史数据就开发的或选择的测度是可用的话，那么建立决策准则就可能是服务性的。过去所观察的趋势将提供以前存在的性能程度的见解，并指导创建实际可用的决策准则。决策准则可以计算出来，或基于所期望行为的概念上的理解。决策准则可以从历史数据、计划和直觉中导出，或按统计上的控制限度或统计上的可信度限度计算出来。

识别利益相关者

宜为每个基本和/或导出测度识别适当的利益相关者，并建立相应的文件。利益相关者可包括：

a) 测量委托人：要求或需要关于ISMS、控制措施或控制措施组的有效性的信息的管理者或其他相关方；

b) 测量评审人：确认已制定的测量构造是否适合于评估ISMS、控制措施或控制措施组的有效性的人员或部门；

c) 信息拥有人：拥有关于测量对象及其属性的信息，并且负责该测量的人员或部门；

d) 信息收集人：负责收集、记录和存储数据的人员或部门；

e) 信息沟通人：负责分析数据并负责沟通测量结果的人员或部门。

测量构造的应用

在应用测量构造中，其规约至少宜包括如下信息：

a) 测量目的；

i) 要测量的控制措施、特定控制措施、一组控制措施以及要测量的ISMS过程所实现的控制目的；

j) 测量对象；

k) 要收集、使用的数据；

l) 数据收集和分析的过程；

m) 测量结果报告过程，包括报告格式；

n) 利益相关者的角色和职责；

o) 评审测量的周期，以确保其对信息需要是有用的。

附录A给出了一个通用的测量构造实例，包含a)到h)。附录B给出了应用于测量ISMS过程和控制措施的测量构造实例。

数据收集、分析和报告的建立

宜建立数据收集和分析的规程，并报告已产生测量结果的过程。如有需要，也宜建立支持工具、测量设备和技术。这些规程、工具、测量设备和技术将关注以下活动：

a) 数据收集，包括数据存储和验证（见8.3）。规程宜识别在使用测量方法、测量函数和分析模型中，如何收集数据，以及在任何特定信息环境下如何存储数据。为了验证丢失的数据是否是最小的，并且赋给每个测度的值是否是有效的，通过对照构造的检查表，检查数据来完成数据验证。

赋予基本测度的值的验证是与测量方法（见7.5.3）的验证密切相关的。

p) 数据分析和已产生的测量结果的报告。规程宜规定数据分析技术（见9.2）以及报告测量结果的频率、格式和方法。宜识别执行数据分析可能需要的工具范围。

报告格式的例子包括：

记分卡，通过整合高层次指标，提供战略信息；
可执行和可运行的仪表，其极少注重于战略目标，更多地受特定的控制措施和过程的有效性的约束；
报表，其形式可以是简单和静态的报表（例如给定时期内的测度列表），也可以是相当复杂的交叉报表，具有嵌套分组、滚动总结、动态追溯或链接功能。当用户需要查看原始数据时，报表最好使用容易阅读的格式。
表示一个动态值的测量仪器，包括警报、附加的图形元素和终点标记。