Ken的观点很有趣,虽然每个人都知道这个管理方面的格言:如果你不能测量它,你就不能管理它。但是,普林斯顿大学爱因斯坦办公室悬挂的一句话:“Not everything that counts can be counted, and not everything that can be counted counts. ”。 同样也是很令人思考的。
将安全事件的数量当作关键KPI – 这虽然非常直观,甚至是管理层很直觉的反应,但是还是不建议将安全事件的数量当作安全运行的KPI,甚至不建议把安全事件解决的时间当作KPI. 因为在很多时候,都很难保证不发生安全事件,或者发生安全事件后一定可以在某段时间内予以解决。例如国内、国外都发生过、或者正在发生着互联网的拒绝服务攻击,包括掌握着巨大资源的运营商都很难避免此类攻击,或者在遭受攻击后很快能制止攻击、或消除影响、恢复业务。我听说的很多例子只是被动地过滤或者更换地址等。这样,安全运行团队的业绩的偶然性就会很大,带来很多不公平的因素。
Read more…
继续整理关于安全考核指标体系(Metrics System)的一些想法和大家的反馈。
# 安全考核指标体系有什么意义?有什么价值?
第一, 从各种视角反映出当前组织的安全保护和运行状态,向管理层提供战略和战术层面的反馈,以及趋势分析
第二,用以诊断各种流程存在的优势和不足,并提供何以改进的提示
第三,用以组织的绩效考核
# 在设计安全指标体系时应该注意的要点,同时也可以说是好的指标体系的特点:
- 与业务目标相关。这是第一位的要点。安全指标体系不是为了指标而指标,为了标准而指标,而是为了核心业务目标而制定。因为不同的组织企业,在不同的历史阶段有不同的业务目标,所以指标体系也不会有全世界通用的”灵丹妙药”。需要根据自己的特点而制定,但是可以参考一些业界的最佳实践。
- 定义清晰,易于理解。大部分的指标是要团队、很多团队的协作才能实现的。所以,指标制定出来后,需要宣传贯彻,需要申请资源和协作。清晰易懂的指标体系帮助形成目标一致的合力synergy。
- 前后一致,可测量,容易收集,低成本。大家都很了解SMART原则,这里也适用这一原则,即指标要具体(Specific),可量化(Measurable),可达成(Achievable or Attainable),现实的(Realistic),并且有限定的时间期限(Timely)。有明确的收集频率,收集源,较低的收集成本。
- 可控制,通过行动可以影响结果。指标应该有明确的责任人和达成共识的阈值。责任人明确通过努力而影响并达成该指标。
- 可以进行数量化、图形化的呈现
指标中的一部分会成为KPI,即关键绩效指数。这时通常有两种类型,其一是当前可以达成,但是需要一直保持,例如设备利用率;其二是通过努力在一定时间内达成,例如当前的每百设备高危漏洞数量是10个,设立的目标是降至每百设备1个。 Read more…
Recent Comments