[Chinese]网络信息安全度量和考核指标体系(2)
April 30th, 2008
No comments
继续整理关于安全考核指标体系(Metrics System)的一些想法和大家的反馈。
# 安全考核指标体系有什么意义?有什么价值?
第一, 从各种视角反映出当前组织的安全保护和运行状态,向管理层提供战略和战术层面的反馈,以及趋势分析
第二,用以诊断各种流程存在的优势和不足,并提供何以改进的提示
第三,用以组织的绩效考核
# 在设计安全指标体系时应该注意的要点,同时也可以说是好的指标体系的特点:
- 与业务目标相关。这是第一位的要点。安全指标体系不是为了指标而指标,为了标准而指标,而是为了核心业务目标而制定。因为不同的组织企业,在不同的历史阶段有不同的业务目标,所以指标体系也不会有全世界通用的”灵丹妙药”。需要根据自己的特点而制定,但是可以参考一些业界的最佳实践。
- 定义清晰,易于理解。大部分的指标是要团队、很多团队的协作才能实现的。所以,指标制定出来后,需要宣传贯彻,需要申请资源和协作。清晰易懂的指标体系帮助形成目标一致的合力synergy。
- 前后一致,可测量,容易收集,低成本。大家都很了解SMART原则,这里也适用这一原则,即指标要具体(Specific),可量化(Measurable),可达成(Achievable or Attainable),现实的(Realistic),并且有限定的时间期限(Timely)。有明确的收集频率,收集源,较低的收集成本。
- 可控制,通过行动可以影响结果。指标应该有明确的责任人和达成共识的阈值。责任人明确通过努力而影响并达成该指标。
- 可以进行数量化、图形化的呈现
指标中的一部分会成为KPI,即关键绩效指数。这时通常有两种类型,其一是当前可以达成,但是需要一直保持,例如设备利用率;其二是通过努力在一定时间内达成,例如当前的每百设备高危漏洞数量是10个,设立的目标是降至每百设备1个。 Read more…
Recent Comments