1. 信息安全度量的定义 1.1什么是度量在物理和数学领域,度量的定义为“用拓扑空间的二值函数,给出空间中任意两点之间距离的值,或者是用于分析的距离的近似值。”我们可以认为,“几乎任何量化问题空间并得出值的情况,都可能看作是度量”。传统的企业管理领域有一条准则——不能测量的东西就不能管理;这条准则也同样适用于信息安全管理领域。 1.2什么是信息安全度量 行业的实践经验表明,企业在完成了网络安全架构和安全管理建设的基础建设之后,常常会遇上安全管理落地难、检查难的问题。安全内控度量则是针对此问题的解决方案。信息安全内控度量可以理解为在企业内部信息安全管理中通过采用系统的、量化的、有效的手段对信息安全管理的现状进行测量和评价,从而发现潜在的安全控制弱点,切实推动安全管理规范的落地,持续提升组织的信息安全管理水平。 2. 信息安全度量体系建设意义 2.1 度量的优势 以往对信息安全管理情况的评价大多采用定性评价,定性评价的优点在于能够对无法量化的制度建设、流程控制、日常操作等方面进行一个较为客观的评价,但定性评价的缺点也很明显,由于无法对评价结果进行量化,只能人为的对评价结果进行大致分级,这就有可能因为评价者自身...