经验教训

　　其实建立一个安全度量项目不是一件易事。但是它也不一定是充满压力的。建立一个度量体系意味着要有正确的视角。这里是从企业安全领导那里得到的4个经验：

• 明确性和背景易接受性。一些安全度量的含义十分清楚。要理解“给工作站打补丁的平均时间”这个度量的含义以及它如何得来的很容易；度量的单位表述的很清晰。“补丁”以及“工作站”这两个词的含义无需解释。但是“应用风险分”93分的含义呢？它比起80分又有多好呢？在这些情况下，有经验的项目经理就会解释分数是如何取得的。他们的展示和“仪表盘”简洁明了地说明他们不太容易明白的公式中都包含了什么，以及读者应该如何解读其结果。
• 洞悉来自对比。耶鲁大学教授 Edward Tufte在他的佳作《Envisioning Information》中说，“如果数字很无聊，那说明你得到了错误的数字。”洞察有关安全项目健康度的非常好的方法就是不要把公司看作一个整体。当你按业务单元、部门、经理或者地域来把安全度量分割开时，总是会出现发人深省的模式。你的哪个部门是明星，而哪个是“牛仔”或者叛徒？通过对比不同的小组，你度量测量的工作就会变得有趣起来，而洞悉也变得显而易见了。
• 少即是多。在计算机和消费电子领域，苹果公司的簇拥者们十分欣赏它的简洁、干净的设计和流畅的用户界面。使得苹果公司的产品如此特殊并不是这个公司放进去了什么，而是它拿出来了什么。类似地，“新英格兰爱国者”橄榄球队的教练Bill Belichick的每周比赛计划要求队员只擅长很少的几件事。他告诉他的队员，“如果你做到这三四样，你就会赢的。”成功的安全度量项目工作方式很类似。使安全部门工作得很好有很多很多因素。但是一个有效的度量项目会通过限制团队要关心的度量来使他们更专心。
• 平衡计分卡正确对待所有事。差不多20年前，哈弗大学的Robert Kaplan和David Norton发明了一个概念叫“平衡计分卡”。作为度量公司表现的一个更佳方式，平衡计分卡设置了对预测长期的成功很关键的四个互补的观点：财务、客户、内部流程和学习及成长。套用到安全上来，平衡记分牌帮助建立了信息安全和管理层之间的桥梁。从Forrester 讲习班得到的对平衡安全计分卡概念的反馈十分令人激动。