정보 보안 메트릭은 명확한 정보 보안 프로세스의 상태를 추적하고 확인할 수 있는 척도입니다. 메트릭은 정량화 가능한 절차를 기반으로 하는 차원 시스템을 정의합니다.
좋은 메트릭은 구체적이고 정량화 가능하고 달성 가능하고 반복 가능하고 시간에 의존하는 것과 같이 우아한 것입니다. 측정기준은 명확하고 별개의 요소에 대한 단일 시점 보기를 제공하는 반면, 측정항목은 시간이 지남에 따라 여러 측정기준을 사전에 조정된 컨트롤과 비교하여 영향을 미칩니다.
치수는 계산에 의해 개발됩니다. 메트릭은 분석을 통해 개발됩니다. 또는 차원은 객관적인 원시 정보이고 메트릭은 해당 데이터에 대한 객관적이거나 주관적인 설명입니다. 사용된 차원의 방법은 재현 가능해야 하며, 서로 다른 유능한 평가자가 별도로 수행할 때 동일한 결과를 얻어야 합니다.
또한 결과는 반복 가능해야 하므로 초기 평가자 세트에 의한 두 번째 계산에서 동일한 결과가 생성됩니다. 수량의 단위를 발견하는 데 사용되는 차원 방법은 측정 도구, 기준 물질 또는 측정 시스템이 될 수 있습니다.
보안을 위한 정보 시스템의 차원은 측정 가능한 보안 속성을 가진 시스템의 여러 부분에 차원 방법을 적용하는 것을 포함하므로 차원의 고려된 가치를 시기적절하고 조직이 액세스할 수 있어야 합니다.
메트릭은 의사 결정을 제공하고 관련 성과 관련 데이터를 수집, 분석 및 문서화하는 동안 구현 및 책임을 복구하도록 설계된 도구입니다.
성과 측정의 요점은 고려된 활동의 상태를 감지하고 관찰된 차원에 따라 대응 조치를 사용하여 해당 활동의 개선을 촉진하는 것입니다.
측정은 특정 개별 요인에 대한 단일 시점 보기를 제공하는 반면 메트릭은 시간이 지남에 따라 취해진 두 개 이상의 차원을 일정한 기준선과 비교하여 변경됩니다. 측정은 계산에 의해 생성됩니다. 메트릭은 분석에서 생성됩니다. 또는 측정값은 객관적인 원시 정보이고 메트릭은 해당 데이터에 대한 객관적이거나 편향된 인간 설명입니다.
정보 시스템 보안의 경우 프로세스는 보안을 제공하는 시스템 요소와 관련됩니다. 즉, 보안 메트릭은 측정된 값을 얻기 위해 정량화 가능한 보안 속성을 소유한 시스템의 여러 엔터티에 차원 방법을 적용합니다.
메트릭은 보안 경영진이 보호 프로그램의 여러 구성 요소의 효율성, 특정 시스템, 제품 또는 프로세스의 보안, 조직 내 직원이나 부서가 보안 영역을 다루는 적성을 식별하는 효과적인 장치가 될 수 있습니다. 책임 있는. 메트릭은 또한 주어진 조치를 취하지 않을 때의 위험 수준을 식별하고 대응 조치를 계산하는 데 지침을 제공하도록 지원할 수 있습니다.