创建有意义的信息安全度量(下)

日期: 2010-05-11 作者:Andrew Jaquith翻译:李博雯 来源:TechTarget中国 英文

建立一个平衡安全计分卡   安全计分卡中应该包括什么——“平衡”还是反之?由于每个公司都是不同的,度量的数量和组成在很大程度上取决于每个公司的业务环境和工作重点。也就是说,成功的计分卡应该是简洁、干净并综合的。它们不应该长篇累牍使用户厌倦,也不应该用神秘的条款使用户困惑。还有它们应该包括足够的关键绩效指标来保证安全项目全部被覆盖到。

在开始一个安全度量项目的时候,一个公司应该: 从管理层获得提示。安全部门,以及高级管理团队,有一系列的原则来规范安全项目应该做什么,以及它的初衷。这些原则可能是有关信息保护的:“做一个好看护人,来管好我们病人的医疗纪录”或者“无论如何都要保护我们的创新”或者可能关乎……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

建立一个平衡安全计分卡

  安全计分卡中应该包括什么——“平衡”还是反之?由于每个公司都是不同的,度量的数量和组成在很大程度上取决于每个公司的业务环境和工作重点。也就是说,成功的计分卡应该是简洁、干净并综合的。它们不应该长篇累牍使用户厌倦,也不应该用神秘的条款使用户困惑。还有它们应该包括足够的关键绩效指标来保证安全项目全部被覆盖到。在开始一个安全度量项目的时候,一个公司应该:

  • 从管理层获得提示。安全部门,以及高级管理团队,有一系列的原则来规范安全项目应该做什么,以及它的初衷。这些原则可能是有关信息保护的:“做一个好看护人,来管好我们病人的医疗纪录”或者“无论如何都要保护我们的创新”或者可能关乎名誉(“只是保证我们的公司不要上报纸”),卓越的服务或者控制成本。这些原则尤其影响财务和客户方面的度量选择。预测管理团队会对何种问题反应强烈是很关键的。
  • 为各个角度都选择少量的度量。平衡计分卡的四个方面迫使你在为计分卡选择度量时要按照顺序原则。你不能“过分看重”内部流程方面,因为这意味着你在学习和增长方面会过于吝啬。但是同时,度量总数过多会使计分卡难于理解。最好的情况是四个方面每个有三到四个度量。图1显示了一个安全经理可能希望使用何种度量的一个例子。

  • 长期和季节性的度量结合使用。建立一个度量项目就像照料一个花园:使它保持新鲜和有趣,种上一套你总是需要的(长期)度量,再洒上一些短期的额外度量。“长期”的度量要反映安全部门的长期管理重点,例如持续关注人员编制,利用基准测试跟踪法规遵从情况,并监视风险评估分数。需要增加“季节性”的度量,以便暴露那些近期需要改善的运营领域,例如数据泄露、应用安全性或者社会媒体滥用。
  • 利用阳光来产生同行压力。向前面提到的那样,把度量按业务部门或地域来切分是一个使数据更加有趣的好方法。但是它有一个副作用:当你在不同部门之间共享数据的时候,你会产生一种很微妙的同行压力,促使那些比较拖后的部门想表现的更接近那些领先者。没人喜欢落在最后。一个公司在数年前把它变成了一个游戏:每个经理都收到了一个T恤,上面印着他或者她的应用安全性分数。你可以想像会议之有趣,经理们都用自己的数字,而不是用他们的名字(“你好,我是53,你的分数是多少?”)做破冰自我介绍。然后他们交流了他们得到较好的分数或者低分的经验。回到现实中来,用T恤来进行“阳光政策”可能并不适用于所有的公司。其中的关键,是用审慎的而非评头论足式的方式来共享不同部门的表现信息。

  更进一步

  如果你现在没有一个度量项目,从零开始建立可能看起来很难,实施起来也更难。但是度量很像锻炼身体。尽管不会马上看到明显的效果,但也没有任何理由说明你可以不进行。首先看看你有什么数据源,你的团队(和老板)重视什么,以及你完成的时候记分卡应该是什么样子。把平衡记分卡作为一个组织的原则。把握现在,及时努力,而回报将会是不可估量的。

相关推荐