数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
很多人觉得,给安全定指标可能会是一个老大难的问题。譬如,若以响应事件数量为指标,那没有那么多事件发生怎么办?以发现漏洞数量,那这个数如何确定?是多了还是少了?
我倒是建议可以以:事件发生率、成本、效率做为指标来综合评估信息安全的建设水平。安全的最终目的一定是为了降低坏事件发生数量或概率,那么这个就是最核心的指标,也是安全团队存在的意义所在。对于一支刚成立的信息安全团队,要求所有事件完全不发生是不现实的,可以以红色事件不能超过几次,橙色事件不能超过几次等来进行衡量。在此基础上,我们考量成本和效率,如果给安全无限的投入,让业务无限度的配合,那一定是更安全的,但也是最不可能的。所以,如何保持较高的人效比,如何更少的打扰业务就可以作为一个重要的衡量指标。譬如副指标1可以是维持安全人数与员工总数的占比不变,维持安全花销的占比不变等。数字化转型网www.szhzxw.cn
声明:本文来自梦之光芒的电子梦,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于梦之光芒的电子梦;编辑/翻译:数字化转型网萍水。
