Temat mierzenia bezpieczeństwa informacji (czy dokładniej mówiąc poziomu bezpieczeństwa informacji) jest zagadnieniem trudnym do naprawdę wartościowej implementacji. Miary bezpieczeństwa są często ulotne, bardzo łatwo jest mierzyć drobiazgi, które często dają złudne poczucie bezpieczeństwa, trudno uchwycić to co jest dla organizacji naprawdę ważne.
Pomóc może tutaj wprowadzona przez mnie metoda CORRECT:
Complete;Chcesz wiedzieć więcej? Zachęcam do lektury całego artykułu.
Objective;
Reliable;
Rapid;
Easy to understand;
CompaCT.
To ja się dorzucę ze swoim artykułem Jak w standardowy sposób zmierzyć bezpieczeństwo, który stanowi przegląd standardów (CVSS, ASVS i inne). Do tego klasyczny artykuł K. Lidermana O pomiarach bezpieczeństwa teleinformatycznego. Jest też dobra książka "Security Metrics: Replacing Fear, Uncertainty, and Doubt" (Andrew Jaquith).
OdpowiedzUsuń