从信息安全甚至IT治理的角度来说，相信多数人对于审计已经建立了基本的概念，甚至因为工作关系有了一定的了解，但是对于度量很多人可能并不了解，甚至并不知情，这里把这两者之间的关系和差异做一个简单的比较分析，为了避免误解，仅就信息安全方面进行。

 

两者的关系：
1、都是对信息安全的某个方面或者多个方面的评价手段；
2、都必须基于一定的检查基础之上；
3、都需要客观、真实、可信的证据提供支持；
4、都能够对信息安全的某个或多个方面进行客观、有效的评价；
5、从信息安全管理的角度出发，都处于PDCA环节中的C环节；

 

两者的差异：
1、关注重点不同，审计更注重合规性，而度量更注重管理现状，不局限于合规；
2、评价性质不同，审计以定性评价为主，度量以定量评价为主；
3、检查来源不同，审计以外部评价为主（外审比内审更能客观评价），度量以内部评价为主；
4、实施周期不同，审计实施周期相对较短，而度量则有一定的持续性
5、……

 

审计和度量之间的联系、差异有很多，我只列举我认为最重要的部分。虽然两者有着一定差异，但是并不代表两者是彼此孤立甚至对立的，两者之间有着密切的联系。从信息安全管理甚至IT治理角度出发，两者的结合是对企业信息安全管理现状实施有效管控的必然之路。

 

对于企业而言，首先可以建立信息安全内审机制，通过建立相应的流程，定期在企业内部有针对性的开展IT审计，对相关管理行为的合规情况进行检查和评价。在建立IT审计机制并成功实施了一段时间之后，在开户内部开展信息安全度量机制。大体上遵循如下的流程：

1、开展信息安全培训
2、梳理现有制度，建立信息安全内审流程
3、实施并运行信息安全内审流程
4、建立信息安全度量体系
5、全面开展信息安全度量
6、形成日常度量、定期审计的长效管理机制

以上是由审计和度量的区别引发的一些小小思考，有感而发，可能还有不少的不足，欢迎大家多提建议！