YY强国啊，在此随便YY一下度量体系的2大交付物。

 

一、度量体系的两大重要组成

1.评价体系
评价体系也可以称为检查体系，主要是通过对各类检查项的检查，对信息安全管理现状进行检查，并根据检查现状进行评分。评价体系应包含以下内容：指标所属领域、指标所属类别、具体指标名称、预期控制目标、指标责任部门（包括牵头部门和配合部门）、指标来源（设计依据）、检查输入、检查方法、抽样率、检查频率、评分标准、检查发现、检查得分。根据实际使用需要，需要将度量体系根据使用范围分为数据中心安全度量总表和各部门安全度量表共9张电子表格。
度量总表汇总了所有具体度量指标，根据指标所属领域、所属类别形成三层结果，使用度量总表时主要用于对数据中心总体安全管理情况进行统计分析，也可以根据安全管控领域的不同有针对性的关注物理安全、系统安全、人员安全等不同领域的安全管理情况。
部门安全度量表根据指标的责任部门对指标进行划分，便于有针对性的对各部门的安全工作开展情况进行检查，得到各部门的检查结果，可以根据部门检查表对各部门所承担的安全职责的落实情况进行有效检查，也可以根据度量表发现的问题发现各部门安全管控中的薄弱环节。

2.分析体系
分析体系也可以成为挖掘体系，主要是以评价体系的结果作为输入，对度量检查中发现的问题进行分析，分析体系主要包含下列内容：指标所属领域、指标所属类别、具体指标名称、预期控制目标、检查发现、现存风险、可能造成的威胁、威胁危害程度、发生概率、影响范围、问题类型、改进措施类别，改进优先级。
根据各类度量指标的控制现状，分析存在的风险及可能造成的威胁，并根据威胁危害程度、发生的概率、影响范围对风险进行量化分级，根据量化分级结果确定对风险的处置优先级，同时在为题类型中区分管理和技术问题，在改进措施中可以通过罗列“完善制度”、“优化流程”、“加强日常管理”、“购买新工具”“升级现有系统（软件）”等选项来为今后的改进工作提供参考。
与评价体系一样，分析体系也可以根据各部门进行拆分，可以对各部门安全管理情况进行分析，并为今后安全管理工作的改进提供参考，甚至可以为后期的信息安全项目立项提供最初期的依据。

 

二、度量体系图形化及自动化展示

1.对度量结果的自动计算和评分
通过使用Microsoft Office的相关功能，将度量评分公式嵌入评价体系之中，度量体系的使用人员只需要输入各单项度量指标的分值，系统即可自动完成针对某个安全领域、某个部门，甚至整个度量总表的分值汇总和计算。除了自动完成计算并得出计算结果外，还需要能根据计算结果生成相关图表。这些图表应能各安全领域或各部门的总体得分情况，方便高层领导直观的了解各领域或各部门的安全管理现状，此外，还应将相关问题的数量及分布领域进行汇总，便于领导直观的发现需要改进的安全领域或部门。

2.对发现的问题进行图形化展示和简单分析
通过使用Microsoft Office的相关功能，对分析体系中的相关信息进行自动的汇总和计算，确保度量体系的使用人员在输入根据评价体系得出的各具体分析要素后，能够自动生成简单的图表，相关的图表应能直观的反应信息安全管理工作的改进要点。在图表中应能显示以下信息：发现问题的总数、对发现的威胁进行有高至低的排序、对各类问题根据整改难易度和整改优先级进行排序、根据问题改进的手段进行分类排序等。
通过使用自动化和图形化的输出主要是便于领导和各部门负责人直观的了解需要进行整改的问题，并能为解决相关问题提供最原始的参考。