[Chinese]网络信息安全度量和考核指标体系
这段时间又到了总结过去、瞻望未来的时间,又要计划新的一年安全运营的目标和考核指标,大家都讲SMART,道理没错。可是一年的大方向是什么?然后确定下来的实现目标又是什么?带着一些问题,抱着试试看的心情,我在LinkedIn里提交了一个问题:how to measure the information security operations? 出乎我的意料的是,我得到了许许多多热心的、精彩的回答。非常有启发性。等我仔细整理后,再给大家一些分享。
安全考核(度量metrics、测量measurement)指标体系等是很意思的话题,可以说安全经理们天天都要打交道的问题。MBA的课程以及很多管理课程都会强调“如果你无法测量它,你就无法管理它!”, 包括ITIL也是遵循同样的逻辑。在安全运营这里这个原理也成立。所以说,问题就不再是要不要安全指标考核体系,而是如何选择适当的、正确的指标了。适当的、正确的安全考核指标应该体现出当前的工作和努力方向,它可以帮助安全团队与非安全团队、非安全专业人员更好地了解信息安全的工作和状况。同样,这些指标体系(Metrics System)对做好高级管理层的沟通并获取他们的支持也非常重要。
在这个课题上,已经有很多非常完整的参考资料,例如NIST SP800系列中的SP800-55,“Security Metrics Guide for
Information Technology Systems”,SP800-80, “Guide for Developing Performance Metrics for Information Security”,以及大家已经推荐的若干本专著,网络链接,都非常不错。
各位有什么好主意、思路不妨也分享一下。
I found there are very good discussion at Chinacissp and Jordan’s blog: http://bbs.chinacissp.com/viewtopic.php?p=64913
my 2 cents
If something bad happens, that will be easy to judge the secuirty operation is not good. ( e.g the customer privacy is released to outside. the web-site is breached (like carrefour China recently experienced). ). however if nothing happens, that will be difficult to measure. however the security opearition process can be measured according to Cobit— maturity model. and I think the maturity model is a very important and unique element in cobit(compared with other framework). that will be useful for mangement understand how well is their IT management and operation.