这是最难写的一个章节，没有之一。工作了十几年，和不同企业的同行探讨过不少回，没有得到一个一致的答案。但是，大家的回答还是给了不少启发。我把这个问题拆解为几个小问题，咱们逐一解决。本篇得以成稿，老同事张亦颖和刘翠华帮助莫大，在此表示感谢，其他参与过讨论的老朋友们在此一并谢过。

1. 谁关心这个问题？为什么关心这个问题？

（1）老板关心：老板需要评价CSO工作的成效（“这个CSO干的好不好”），评价CSO的工作产出和其对业应产生的价值是否匹配，评估投入和产出是否对等（就是关心在信息安全方面的投资收益比）。

（2）CSO关心：需要有一个相对客观的结果展现自己的业绩、价值，需要通过结果和同行、竞争对手对标、找差距，进而找到企业信息安全的短板，加以改进。

（3）CSO的下属（信息安全团队的成员）关心：需要有一个结果和同行、竞争对手对标、找差距，要么是找到自己的长处，要么是找到自己的短板、进而改进。

（4）企业信息安全应对的威胁者关心：我如果要对这家企业下手（入侵利用、破坏或者是窃取），风险大不大、成本高不高、得手的几率大不大。

回答了这个小问题，也就知道我们应该如何设计、选择评价方法了。我们不是为了评价而评价，是为了评估成效、评估投资收益比、寻找需要改进的短板（这句话很重要、很重要、很重要）。作为一个甲方人员，下面篇幅讲的主要都是针对（1）（2）（3）种情况的。

2. 评价体系与KPI之间的关系

我倾向用一个指标体系来评价企业信息安全工作的好坏，而不是1、2个指标。之所以说体系，是因为企业信息安全的好坏需要从多个维度来综合评判；而用一个指标体系可以让评价过程和评价结果相对全面、客观、量化、容易被读懂。通过这个评价体系持续监测、评估企业的信息安全状况3-5年，从其变化趋势也可以评判企业信息安全工作的好坏。而KPI通常用3-4个指标来评价当期信息安全工作的绩效，在全面性和持久性上是有显著差别的，两者的目的和关注点是不一样的。

其次，任何评价体系都应该是一个效果为主的评价体系，当然其中可以增补一些动作性、过程性的指标。这一点，评价体系和KPI是相似的。

第三，评价体系通常用于反映企业的信息安全状态，但这个状态一般不会用于CSO的当期绩效考核、进而影响CSO和信息安全团队当期的收入和待遇。KPI则完全不一样。因此，我也不赞成用评价体系来代替KPI、代替绩效评价。

当然，从“威胁者”的角度来看，可能往往就看1-2个指标就可以了。比如：过往发生的信息安全事件数量是否多、危害是否大？这家企业历史上暴露的信息安全漏洞是否多、等级是否高？过往是否有成功打击泄密者、窃取者、攻击者的案例，是否足够有威慑力？这家企业的信息在黑市上的售卖价格是高还是低？作为CSO要应对的威胁和对手，这类指标往往效果更加显著，因此应该作为评价体系的组成部分。当然，有时候如果老板实在不懂安全、但他又想来评价信息安全工作，用这几个指标也往往能镇得住老板。

有朋友还给我推荐了一种方法：某个金融公司将每次安全防御的成果换算成对企业带来的绩效；该公司会评估每次攻击可能造成的损失，防御了一次攻击就相当于帮企业挽回了对应的损失，挽回损失就是信息安全工作的绩效。这个方法具有较好的直观性，但我还是认为评价维度过于单一，而且似乎只适合金融企业。

3. 常见的评价方法

（1）分类量化的评价标准

“分类量化”的评价方法，一般以ISO27001、COBIT的控制点为基础演化而来，对这些控制点先融合再分类。记住，这里面请把“威胁者”关注的指标加进去。对于控制点的分类，我见过一些公司（包括咨询公司）是这样划分的：

以上分类方式，我个人更喜欢IBM的“PPT”方法，也就是Process（流程）、Person（人）、Tech（技术），但我对之做了一些改进、称为Process（业务和流程）、Person（人）、Tech（IT技术与物理安全）。需要特别说明的是Process为什么是“业务和流程”：“流程”强调的是“在流程中应该有信息安全的控制点，有了控制点、信息安全措施的有效性才能得到保证”，“业务”强调的是“信息安全应该关注高价值和高风险业务、不用面面俱到”。

分类打分完毕之后，参照上面这个表格进行加权计算，最终以一个量化分数或者成熟度级别展现出来。各类评价标准操作下来，大致都要给这么一个量化的分数或者是成熟度级别，就是为了让老板看得懂。

这当中有2个细节没有展现出来。第一就是每个分类里面更加细化、量化的打分规则到底是什么。因为我还没有足够的精力把这部分整理出来；即便整理出来了，这个打分规则也依然是个参考，因为不同行业的差异性、不同企业对于信息安全认知的差异性，都会显著影响评价标准、打分规则的变化。比如科技研发型企业对于保密性更加关注，金融企业对于保密性和可用性更加关注，生产制造型企业对于可用性、完整性更加关注，互联网企业对于保密性、可用性和完整性都关注。第二就是每个公司在信息安全上的投入，往往是一个极其重要的衡量因素；当然这个因素到底属于哪一类就是仁者见仁智者见智了。再细分下去，投入分为几块（1）老板或信息安全管理的最高层在信息安全工作上的时间、精力的投入多少；（2）每年在信息安全建设、改造上的资金投入，在企业当年总投入的占比；（3）信息安全团队人员的数量、级别和拥有资质，以及在公司总人数的占比；

（2）对标行业标杆的评价标准

做法上先定一个评价标准（通常是某个国际通用的标准）、找一个行业标杆企业、确定这个标杆企业的基准分值（这个分值可能根据行业、业务领域、地域等因素有差别），根据评价标准、寻找和标杆企业之间的差距（更好或者更差）、打分，得到最后的分值。

（3）“证明有或没有”的评价标准

对于企业来说，通过外部机构的认可、认证也是一种评价标准。常理来说，得到一些权威机构的认可、认证，至少可以证明其在某些方面达到了较好的水平。当然，我们也不能由此推断，通过认证的企业一定比未通过认证的企业做得好；尤其是在国内，有的时候确实存在给钱就能过的现象，这些认证机构拿自己的权威和声誉开玩笑。因此，如果要看证书，一般以BSI、DNV、SGI或中国信息安全认证中心出具的还算权威的。