数据治理-数据安全-度量指标

        数据安全的度量指标主要分为5类；分别为安全实施、安全意识、数据保护、安全事件、机密数据扩散。

安全实施指标

这些常见的安全指标可以设定为正值百分比：

1. 安装了最新安全补丁程序的企业计算机百分比；
2. 安装并运行最新反恶意软件的计算机百分比；
3. 成功通过背景调查的新员工百分比；
4. 在年度安全实践测验中得分超过80%的员工百分比；
5. 已完成正式风险评估分析的业务单位的百分比；
6. 在发生如火灾、地震、风暴、洪水、爆炸或其他灾难时，成功
   通过灾难恢复测试的业务流程百分比；
7. 已成功解决审计发现的问题百分比；

​​​​​​可以根据列表或统计数据的指标跟踪趋势：

1. 所有安全系统的性能指标。
2. 背景调查和结果。
3. 应急响应计划和业务连续性计划状态。
4. 犯罪事件和调查。
5. 合规的尽职调查以及需要解决的调查结果数量。
6. 执行的信息风险管理分析以及导致可操作变更的分析数量。
7. 制度审计的影响和结果，如清洁办公桌制度检查，由夜班安保人员在换班时执行。
8. 安全操作、物理安全和场所保护统计信息。
9. 记录在案的、可访问的安全标准（制度）。
10. 相关方遵守安全制度的动机。
11. 业务行为和声誉风险分析，包括员工培训。
12. 基于特定类型数据（如财务、医疗、商业机密和内部信息）的业务保健因素和内部风险。
13. 管理者和员工的信心和影响指标，作为数据信息安全工作和制度如何被感知的指示。

        随着时间的推移，在适当的类别中选择和维护合理数量的可操作指标，以确保合规性；在问题成为危机之前被发现，并向高级管理层表明 保护企业信息的决心。

安全意识指标

考虑以下这些常规领域并选择适当的指标：

1. 风险评估结果。评估结果提供了定性数据，需要反馈给相关业务单位，以增强其责任意识。
2. 风险事件和配置文件。通过这些事件和文件确定需要纠正的未管理风险敞口。在安全意识倡议实施后，通过后续的测试来确定风险敞口以及制度遵从方面的缺失或可衡量改进的程度，以了解这些信息的传达情况。
3. 正式的反馈调查和访谈。通过这些调查和访谈确定安全意识水平。此外，还要衡量在目标人群中成功完成安全意识培训的员工数量。
4. 事故复盘、经验教训和受害者访谈。为安全意识方面的缺口提供了丰富的信息来源。具体指标可包括已减小了多少漏洞。
5. 补丁有效性审计。涉及使用机密和受控信息的计算机，以评估安全补丁的有效性（尽可能推荐自动补丁系统）。

​​​​​​​数据保护指标

需求决定哪些指标与组织相关：

1. 特定数据类型和信息系统的关键性排名。如果无法操作，那么将对企业产生深远影响。
2. 与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期。
3. 特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。
4. 数据与特定业务流程的风险映射，与销售点设备相关的风险将包含在金融支付系统的风险预测中。
5. 对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估。
6. 对可能意外或有意泄露敏感信息的业务流程中的特定部分进行漏洞评估。
7. 敏感数据的可审计列表的位置信息，要在整个组织中传播。

​​​​​​​安全事件指标

安全事件指标包括：

1. 检测到并阻止了入侵尝试数量。
2. 通过防止入侵节省的安全成本投资回报

​​​​​​​机密数据扩散

        应衡量机密数据的副本数量，以减少扩散。机密数据存储的位置越

多，泄露的风险就越大