之前想了很多信息安全度量的问题，回到现实工作中，    真正能想到并且真正去实施信息安全度量的企业目前还很少，因此，对大多数已经成功建设ISMS的企业而言，做好体系有效性测量就成了一项很重要的工作。
    一般情况下，信息安全管理者会认为有效性测量的内容和结果只是用在体系发布直至认证审核的这3个月运行期内。通过审核后当然可以继续执行体系有效性策略，但收到的重视程度就相对要差一点了。其实，体系有效性测量指标的设计很有讲究，如何通过几十个有效性测量指标来反应体系运行过程中的一些普遍和常见问题，并从一定程度上反映信息安全管理现状是一个值得我们思考的问题
    一般而言，有效性测量指标需要考虑以下几方面因素：
    1.信息便于采集
    2.各项指标能基本覆盖一些重要或普遍关注的安全管理领域
    3.同一领域内的指标应具有一定关联性
    简单来说，如果我们只是简单的设计防病毒客户端安装率、年度信息安全事件次数等，虽然也可以反映一些情况，但这些信息直接相对孤立，我们获得的仍是一部分零散的信息，对安全管理的推动非常有限。
    针对这些情况，就有必要考虑上述三方面因素，力争通过尽量少的指标来反应一些重要关注方面的实际情况。比如除了防病毒软件客户端的安装率外，我们还可以关注防病毒软件病毒库更新成功率；除了安全事件次数外，还可以关注安全事件影响程度统计，通过在某一领域内设置3-5个彼此之间具有一定逻辑关联的有效性测量指标，来满足我们的管理需要。出于这样的考虑，总体上设置50-70项指标即可大致覆盖ISMS的一些重要领域，对于一些特别关键、信息采集复杂、分析难度较高的方面，则不能寄托于体系有效性测量指标，需要在相关的管理制度中另行考虑具体的考核指标。