人们常常会问：怎么表述信息安全工作做得效果怎么样？风险管理的量化评价怎么搞？如何写安全工作人员的KPI？... ...

　　这些问题最终都指向一个要求，就是“指标体系”。特别是希望有量化的指标。

　　首先，如果你需要给出一个“值”能够有效地表达现在的风险是多少，或者说希望得到一个货币化的信息风险值，那么这种期望一般是要落空的。简单说，这是不可能的。因为风险的影响因素太多了。那么，综合资产价值的影响、威胁的程度、防护措施的有效程度等等因素，那于综合计算出一个指标，那么我们就可以提出一些可行的分解指标，来表达。

　　这里，就需要大家形成一个对指标的合理的期望，我的观点就是，一个好指标，只要满足下面三条就可以了：

1. 有理：　只要有道理就可以，不要要求所谓的“科学性”，避免学术争执。
2. 可测：　一个指标一定是可以被测出来的，而且不能花费太大的成本。那么这个事情就是可操作得。

3. 可比较：　对于不同主体的指标，不同时期的指标，要可以进行比较，并评价出来优劣。那么这个指标就是活跃的指标，能够成为收到关注的指标。

    

   如何用这三个条件看指标，看指标体系，那么很多事情就变得可操作了。

　　其实，我们对于指标体系的期望，很少有“科学性”的要求。比如：GDP、CPI、上证指数等等，你说这些指标科学吗？未见得。但是，我们还是认可这些指标所带来的内在信息。GDP的增长率超过两位数，CPI同比增长超过8%，上证指数跌破3700等等，这些数字所内涵的信息，我们天天的工作生活都要参考这些信息。再比如空气污染指数的二级/良，是否准确反映真实情况，我们其实也接受只要大概正确就可以。其实，这些指标都符合“有理、可测、可比较”的原则。

　　按照这个思路来开发信息安全方面的指标，会变成一个可以实现的任务，而是一个不知前途的学术难题。遵循风险管理的三要素思路，可以考虑用三类指标来评价安全性（安全工作）：

• 资产／业务类：
  • 网络地图是否清晰准确——也就是安全域相关的网络拓扑图和业务流图等等是否真实有效地反映当前的现状。
  • ．．．　．．．
• 威胁类：
  • 安全弱点的数量（根据过程评价）
  • 安全事件的发生频率、平均无事故时间（用结果来评价）
  • ．．．　．．．
• 措施类：
  • 防病毒产品装机率、防病毒产品特征代码升级率
  • 网络链路监测覆盖度
  •  ．．．　．．．

　　 总之，用“有理、可测、可比较”的要求来看，信息安全的指标体系就是一个可操作的事情了。