CIO应该依赖什么关键指标来衡量IT风险暴露的程度？

Question

注:这是最初在另一个Area51提案中提出的，该提案已被删除。

Answer 1

从ISACA CGEIT (企业IT治理证书)来看，主要分类如下：

1. 响应业务需求，与业务策略保持一致
2. 按照董事会的指示对治理要求作出回应
3. 确保最终用户对服务提供和服务水平满意
4. 优化信息的使用
5. 创造IT敏捷性
6. 定义如何将业务功能和控制需求转换为有效和高效的自动化解决方案。
7. 获取和维护集成和标准化的应用系统
8. 获取和维护集成和标准化的信息技术基础设施
9. 获取和保持符合IT战略的IT技能
10. 确保第三方关系的相互满足
11. 确保应用程序无缝集成到业务流程中
12. 确保信息技术成本、效益、战略、政策和服务水平的透明度和理解
13. 确保应用程序和技术解决方案的正确使用和性能。
14. 核算和保护所有IT资产
15. 优化IT基础设施、资源和功能
16. 减少解决方案和服务交付缺陷和返工
17. 保护信息技术目标的实现
18. 明确风险对IT目标和资源的业务影响
19. 确保那些不应该获得关键和机密信息的人不能获得这些信息。
20. 确保自动化的业务事务和信息交换是可信的
21. 确保IT服务和基础设施能够正确抵抗错误、蓄意攻击或灾难所导致的故障并从故障中恢复
22. 确保在IT服务中断或更改时业务影响最小
23. 确保按需要提供IT服务
24. 提高IT的成本效率及其对企业盈利能力的贡献
25. 按时、按预算交付项目，达到质量标准。
26. 维护信息和处理基础设施的完整性
27. 确保IT部门遵守法律、法规和合同
28. 确保资讯科技能提供具成本效益的服务质素、持续改善及为未来的改变作好准备。

有趣的是，您将看到其中只有9个与IT安全有关，其中5个与弹性有关，因此CIO对风险的看法与IT安全专业人员的观点不同。

因此，现实地说，所需的统计数据将涉及：

保护资产-在资产上检测到的攻击与成功的攻击访问控制-访问控制的破坏、将用户纳入策略的失败等-对自动化过程的信任-审计标志、确保业务连续性的控制失败-成功测试BC/DR减少影响的计划-攻击后的成本分析(成功与否)-审计/监管结果

Answer 2

• 按类型分列的每年事件的(正整数)
• 处理(调查、清理、分析/审查/验尸等)事件所需的时间/资源，以工时为单位(每个事件应有相应的数据)
• 在法医、日志管理、事件响应过程/程序管理和事件处理程序培训方面，跨元结构和信息结构的覆盖率(百分比)
• 按类别(信息/元结构)和子类别(例如，每个应用程序、每个-BU、每个数据中心等)分列的鉴证、日志管理、事件反应过程/程序管理和事件处理程序培训的质量，由外部评估员衡量(每年一次，以某种可随时间变化的尺度来衡量，可能是1至100级，但不像FISMA)