如何创建一个有意义的信息安全度量项目

核心提示： 为各个角度都选择少量的度量，平衡计分卡的四个方面迫使你在为计分卡选择度量时要按照顺序原则，如何创建一个有意义的信息安全度量项目(4)，你不能“过分看重”内部流程方面，因为这意味着你在学习和增长方面会过于吝啬，把握现在，及时努力，但是同时，度量总数过多会使计分卡难于理解

为各个角度都选择少量的度量。平衡计分卡的四个方面迫使你在为计分卡选择度量时要按照顺序原则。你不能“过分看重”内部流程方面，因为这意味着你在学习和增长方面会过于吝啬。但是同时，度量总数过多会使计分卡难于理解。最好的情况是四个方面每个有三到四个度量。图1显示了一个安全经理可能希望使用何种度量的一个例子。

长期和季节性的度量结合使用。建立一个度量项目就像照料一个花园：使它保持新鲜和有趣，种上一套你总是需要的（长期）度量，再洒上一些短期的额外度量。“长期”的度量要反映安全部门的长期管理重点，例如持续关注人员编制，利用基准测试跟踪法规遵从情况，并监视风险评估分数。需要增加“季节性”的度量，以便暴露那些近期需要改善的运营领域，例如数据泄露、应用安全性或者社会媒体滥用。

利用阳光来产生同行压力。向前面提到的那样，把度量按业务部门或地域来切分是一个使数据更加有趣的好方法。但是它有一个副作用：当你在不同部门之间共享数据的时候，你会产生一种很微妙的同行压力，促使那些比较拖后的部门想表现的更接近那些领先者。没人喜欢落在最后。一个公司在数年前把它变成了一个游戏：每个经理都收到了一个T恤，上面印着他或者她的应用安全性分数。你可以想像会议之有趣，经理们都用自己的数字，而不是用他们的名字（“你好，我是53，你的分数是多少？”）做破冰自我介绍。然后他们交流了他们得到较好的分数或者低分的经验。回到现实中来，用T恤来进行“阳光政策”可能并不适用于所有的公司。其中的关键，是用审慎的而非评头论足式的方式来共享不同部门的表现信息。

更进一步

如果你现在没有一个度量项目，从零开始建立可能看起来很难，实施起来也更难。但是度量很像锻炼身体。尽管不会马上看到明显的效果，但也没有任何理由说明你可以不进行。首先看看你有什么数据源，你的团队（和老板）重视什么，以及你完成的时候记分卡应该是什么样子。把平衡记分卡作为一个组织的原则。把握现在，及时努力，而回报将会是不可估量的。