[发明专利]一种辅助评估信息安全能力成熟度方法和系统

说明书

技术领域

本发明涉及信息安全服务技术领域，尤其涉及一种辅助评估信息安全能力成熟度方法和系统。 

背景技术

  成熟度是指对一种能力评估的量化方法。如评估软件开发过程能力，就采用CMMI 来评估成熟度。

信息安全服务企业在开展信息安全业务的过程中，往往需要对客户的信息安全能力进行评估，并协助客户进行信息安全规划。这往往需要企业充分了解客户的信息安全现状、发展规划、建设过程等信息，才能较为客观的评估出客户的信息安全能力，才能针对客户的实际问题，制定有针对性的规划案，切实解决客户信息安全建设过程中的难点和盲点。主要使用的技术包括：

1、客户关系管理系统（CRM- Customer Relationship Management）用于对客户的情况进行记录。

2、知识库（Knowledge  Base）。用于知识的分类、存储、共享、传承等。其中，包括客户的相关知识。

3、专家调研系统。通过派驻资深的专家，对客户的信息安全情况进行调研。

4、雷达图及格式文档。用于通过专家根据收集的各种资讯，以ISO27001为基础，结合个人经验绘制客户信息安全成熟度雷达图，并在此基础上，通过与客户反复磋商、探讨，最终形成信息相关格式文档。 

然而，现有技术中的信息安全服务系统中的上述4个方面都存在一定的不足：

A、客户关系管理系统（CRM- Customer Relationship Management）客户关系管理系统一般应用于市场相关部门，虽然会详细记录与客户经营活动相关的信息，但侧重点在经营活动，对客户的动态信息化状况、信息化规划、安全规划等往往较少涉及。此外，企业中的咨询顾问、实施工程师、技术人员、开发人员、情咨人员等，往往都从不同的维度对客户的情况有一定的了解，所以，客户关系管理系统无法完整的记录客户的相关信息。

B、知识库（Knowledge  Base）一般针对企业已有的文献、资料、邮件等内容进行知识管理，缺乏有效的机制，将分散在各个职能体系中的员工将了解到的客户信息进行知识记录。此外，对客户信息安全资讯的传承，一般依靠传统方式，客户经理或者咨询专家离职将导致许多重要的信息缺少传承。

C、专家调研过程中，需要对客户方各个层级的员工进行调研，以求充分了解客户的信息安全现状、需求等，结合客户方的业务发展规划来进行信息安全能力成熟度评估。往往在调研过程中存在重复调研、调研内容不完善、调研结果欠真实等问题。特别是随着互联网的发展，客户的许多资讯可以参考互联网披露的信息。所以，靠短时间的专家调研实现对客户情况的洞悉往往不太可靠，应该结合日常工作，逐步积累、丰富客户的资讯，将销售、技术、研发、实施等各种人员所了解的信息进行有效汇总（结合审核机制，确保信息准确），来提高调研结果的准确度和调研效率。

D、雷达图的绘制一般缺乏工具，往往凭借专家所掌握的资讯进行人工绘制，雷达图选取的项目虽然一般固定，但是项目指标范围、指标取值算法等缺乏约定的机制，这往往导致不同的专家评估出的结果差异很大；格式文档往往依托专家知识进行手工编辑，特别是对客户信息安全现状分析、建设路线图等需要参考大量的客户资讯，资讯的缺乏、资讯的不准确都直接影响格式文档的质量。

有鉴于上述内容中提到的缺陷，现有技术有待改进和提高。 

发明内容

鉴于现有技术的不足，本发明目的在于提供一种辅助评估信息安全能力成熟度方法和系统。旨在解决现有技术中信息安全服务中存在的客户关系管理系统不足，知识库信息缺失、过度依赖专家系统等问题。

本发明的技术方案如下：

一种辅助评估信息安全能力成熟度方法，其中，所述方法包括以下步骤：

S1、预先定义一成熟度评估数据库，其包括：信息安全建设成熟度模型、模型建设领域、建设领域的建设方向、建设方向的具体评估指标和建设指标的具体取值范围及满足条件； 

S2、根据客户需求和成熟度评估数据库，建立客户信息安全成熟度评估模型；

S3、对客户信息进行增量录入和维护，并根据维护进去的数据信息，进行指标值设定和调优；

S4、通过选取信息安全建设成熟度模型、模型建设领域、建设领域的建设方向和建设方向的具体评估指标信息，结合各种维护的数据信息，按照雷达图原理，自动输出评估报告。

所述的辅助评估信息安全能力成熟度方法，其中，所述步骤S2中客户需求包括：行业特点、监管要求和用户数量。