如何创建一个有意义的信息安全度量项目

核心提示： 少即是多，在计算机和消费电子领域，如何创建一个有意义的信息安全度量项目(3)，苹果公司的簇拥者们十分欣赏它的简洁、干净的设计和流畅的用户界面，使得苹果公司的产品如此特殊并不是这个公司放进去了什么，卓越的服务或者控制成本，这些原则尤其影响财务和客户方面的度量选择，而是它拿出来了什么，类似地

少即是多。在计算机和消费电子领域，苹果公司的簇拥者们十分欣赏它的简洁、干净的设计和流畅的用户界面。使得苹果公司的产品如此特殊并不是这个公司放进去了什么，而是它拿出来了什么。类似地，“新英格兰爱国者”橄榄球队的教练 Bill Belichick的每周比赛计划要求队员只擅长很少的几件事。他告诉他的队员，“如果你做到这三四样，你就会赢的。”成功的安全度量项目工作方式很类似。使安全部门工作得很好有很多很多因素。但是一个有效的度量项目会通过限制团队要关心的度量来使他们更专心。

平衡计分卡正确对待所有事。差不多20年前，哈弗大学的Robert Kaplan和David Norton发明了一个概念叫“平衡计分卡”。作为度量公司表现的一个更佳方式，平衡计分卡设置了对预测长期的成功很关键的四个互补的观点：财务、客户、内部流程和学习及成长。套用到安全上来，平衡记分牌帮助建立了信息安全和管理层之间的桥梁。从Forrester 讲习班得到的对平衡安全计分卡概念的反馈十分令人激动。

建立一个平衡安全计分卡

安全计分卡中应该包括什么——“平衡”还是反之？由于每个公司都是不同的，度量的数量和组成在很大程度上取决于每个公司的业务环境和工作重点。也就是说，成功的计分卡应该是简洁、干净并综合的。它们不应该长篇累牍使用户厌倦，也不应该用神秘的条款使用户困惑。还有它们应该包括足够的关键绩效指标来保证安全项目全部被覆盖到。在开始一个安全度量项目的时候，一个公司应该：

从管理层获得提示。安全部门，以及高级管理团队，有一系列的原则来规范安全项目应该做什么，以及它的初衷。这些原则可能是有关信息保护的：“做一个好看护人，来管好我们病人的医疗纪录”或者“无论如何都要保护我们的创新”或者可能关乎名誉（“只是保证我们的公司不要上报纸”），卓越的服务或者控制成本。这些原则尤其影响财务和客户方面的度量选择。预测管理团队会对何种问题反应强烈是很关键的。