当Bruce Jones在Eastman Kodak公司担任全球IT安全风险和法规遵从管理人员的时候,他发现摆在他面前的是一个颇具挑战性的问题:怎么制定一套坚固的安全指标,用来与公司的其他部门进行风险沟通。
大约两年半的时间过去了,Jones制定出了一个风险管理规划,并且确实可行。
对于企业来说,制定合适的指标是维持整个企业安全的关键一部分。指标可为企业提供一个可有效地判断风险的标杆。但是,安全专业人员表示,确定那些指标并把它们与风险管理计划相结合确实堪称一项艰巨的任务。企业应该从为指标制定清晰的目标开始,保证收集的这一过程是可重复和可管理的。
"人们往往会有点儿心理抵触,因为这种事情太过艰难以致于什么事情也不能做,他们最终就会不愿意做很多事情或者干脆什么也不做。"Securosis一分析师Rich Mogull表示:"不要只看互联网安全中心的指标,试着立刻着手做所有的事情。放下心里负担去做好了,选取高优先的领域,确保你了解这个领域,使用你所有的工具去实施,然后再进入下一个领域。"
在柯达,Jones从研究其他公司怎么做开始,但是发现许多方法都太过学术了,需要大量的工作来管理或不适合与业务部门进行沟通。在多层控制台方面他停止了工作,该控制台范围的指标的基础可能会出现问题,并且别的地方出现故障之后还可能会出现潜在的影响。这些指标包括访问管理、入侵检测,以及恶意软件。
第一级,也是最高的一级,预留那些影响非常严重的和立即补救的问题。