我現在面臨一個挑戰：根據當前的人力資源和能力投入，評估我們公司的安全態勢。是否有衡量網絡安全水平的標準？第一步最好做什么？

現在這個問題，也是安全專業人員奮斗多年要解決的問題。在詳細解答前，我必須要說令人失望的消息，沒有正確有效的信息安全度量標準（there is no silver bullet for information security metrics）。真正評估信息安全計劃有效性的唯一方法是，坐下來，評估該方案的目標，然后找到方法來衡量實現這些目標的進展。這是一個高度的企業特定過程，根據企業的不同結果也會不同。

這就是說，當你為你的計劃考慮網絡安全性度量標準時，你可以選擇許多數據源進行混合評估。以下是我喜歡的一些：

漏洞掃描結果：如果你在網絡上運行了一個漏洞掃描器，它可以為你提供幾個有趣的度量標準：

●服務器上的關鍵漏洞的數量。

●可通過防火墻的關鍵漏洞數量。

●解決關鍵漏洞的平均時間。

系統配置合規信息：微軟系統中心配置管理器（Microsoft System Center Configuration Manager）等工具可以為你提供關于工作站狀態的詳細信息。一些可用來作為安全度量標準的包括：

●系統符合安全標準的百分比

●防病毒和反間諜軟件狀態

安全事故頻率：這是分割正確的底線：你的企業多久經歷一次安全事故？這里的技巧在于確保你有一個一致性的定義，關于“事故”上升到了什么級別。否則，改變定義可能使數據錯誤。

以上是一些想法，可以讓你開始一個全面的安全度量標準計劃。請記住，要帶著你的目標開始，然后根據目標精心列出一些問題，這些問題將為管理提供關于信息安全計劃和網絡安全控制有效性的最好洞察。