情報セキュリティメトリクスとは何ですか？

情報セキュリティメトリクスは、明確な情報セキュリティプロセスの状態を追跡および確認できる手段です。メトリックは、定量化可能な手順に基づくディメンションのシステムを定義します。

優れた指標とは、具体的で、定量化可能で、達成可能で、再現性があり、時間に依存するなど、洗練された指標です。ディメンションは、明確で明確な要素の単一の時点のビューを提供しますが、メトリックは、時間の経過とともに取得されたいくつかのディメンションを事前に配置されたコントロールと比較することによって効果を発揮します。

寸法は数えることによって開発されます。メトリックは分析から作成されます。あるいは、ディメンションは客観的な生の情報であり、メトリックはそれらのデータの客観的または主観的な人間の説明です。採用される次元の方法は再現可能でなければならず、異なる有能な評価者によって別々に実行されたときに同じ結果を達成する必要があります。

また、結果は再現可能でなければならないため、評価者の初期セットによる2回目の計算でも同じ結果が生成されます。量の単位を見つけるために使用される寸法の方法は、測定器、参照資料、または測定システムです。

セキュリティのための情報システムの次元には、測定可能なセキュリティ特性を持つシステムの複数の部分に次元の方法を適用して、次元の考慮された値を取得するために、タイムリーで組織がアクセスできるようにする必要があります。

指標は、関連するパフォーマンス関連データの収集、分析、および文書化中に、意思決定を提供し、実装と説明責任を回復するために設計されたツールです。

パフォーマンスを測定するポイントは、考慮されたアクティビティのステータスを検出し、観察されたディメンションに応じて、対抗アクションを使用してそれらのアクティビティの改善を促進することです。

測定値は、特定の個別の要因の単一時点のビューを提供しますが、メトリックは、時間の経過とともに取得された2つ以上のディメンションの一定のベースラインと比較することによって変更されます。測定値はカウントによって生成されます。メトリックは分析から作成されます。あるいは、測定値は客観的な生の情報であり、測定基準はそれらのデータの客観的または偏った人間の説明です。

情報システムのセキュリティの場合、プロセスは、セキュリティを提供するシステムの要素に関連しています。つまり、セキュリティメトリックは、測定値を取得するために、定量化可能なセキュリティプロパティを持つシステムの複数のエンティティにディメンションの方法を適用することを採用しています。

メトリックは、セキュリティエグゼクティブが保護プログラムのいくつかのコンポーネントの有効性、特定のシステム、製品、またはプロセスのセキュリティ、および組織内のスタッフまたは部門がセキュリティ領域に対処する適性を識別するための効果的なデバイスになります。責任があります。指標は、特定のアクションを実行しない場合のリスクのレベルを特定することもサポートでき、そのようにして、対抗アクションを計算する際のガイダンスを提供します。