如何创建一个有意义的信息安全度量项目

核心提示： 丢西瓜拣芝麻，好的安全度量应该具有5种属性，如何创建一个有意义的信息安全度量项目(2)，大多数公司都知道怎样选择符合前4种属性的度量：他们分别是，用数字说话，而哪个是“牛仔”或者叛徒？通过对比不同的小组，你度量测量的工作就会变得有趣起来，测量有一种或多种计量单位，以持续客

丢西瓜拣芝麻。好的安全度量应该具有5种属性。大多数公司都知道怎样选择符合前4种属性的度量：他们分别是，用数字说话，测量有一种或多种计量单位，以持续客观的方式测量，而且可以以较小的代价收集。但是只有很少的一部分选择了符合最重要条件的度量：语境相关。也就是说，度量需要帮助某人——通常是老板 ——作出和安全或者业务相关的重要问题的决定。太多的公司使用度量来建立拜占庭式的“安全”教堂，测量他们知道的细节，而不是老板想要知道的事。

经验教训

其实建立一个安全度量项目不是一件易事。但是它也不一定是充满压力的。建立一个度量体系意味着要有正确的视角。这里是从企业安全领导那里得到的4个经验：

明确性和背景易接受性。一些安全度量的含义十分清楚。要理解“给工作站打补丁的平均时间”这个度量的含义以及它如何得来的很容易；度量的单位表述的很清晰。“补丁”以及“工作站”这两个词的含义无需解释。但是“应用风险分”93分的含义呢？它比起80分又有多好呢？在这些情况下，有经验的项目经理就会解释分数是如何取得的。他们的展示和“仪表盘”简洁明了地说明他们不太容易明白的公式中都包含了什么，以及读者应该如何解读其结果。

洞悉来自对比。耶鲁大学教授 Edward Tufte在他的佳作《Envisioning Information》中说，“如果数字很无聊，那说明你得到了错误的数字。”洞察有关安全项目健康度的最佳方法就是不要把公司看作一个整体。当你按业务单元、部门、经理或者地域来把安全度量分割开时，总是会出现发人深省的模式。你的哪个部门是明星，而哪个是“牛仔”或者叛徒？通过对比不同的小组，你度量测量的工作就会变得有趣起来，而洞悉也变得显而易见了。