# 衡量並傳達資安價值－企業保護指標 * 安全長期以來被視為企業的必要條件，卻未能得到與其他部門相同的績效標準。 ## 測量安全價值的挑戰 * 許多安全主管（CSO）缺乏將安全視為業務的一部分的經驗，面臨展示其價值的挑戰。 * 企業對於安全部門的期望逐漸改變，要求CSO能夠有效地量化其貢獻。 ## 測量計劃管理 ### 確立安全指標的必要性，並針對如何建立有效的測量計劃提供指導。 ### 提出一套六步驟來管理和建立安全指標。 * 步驟一：確定業務驅動因素與目標 * 了解安全指標如何使企業在政策與文化上產生正面影響，並減少風險暴露。 * 步驟二：確定目標受眾 * 明確不同受眾對於安全指標的需求，進而調整傳遞的內容和方式。 * 步驟三：識別數據來源 * 重要的是確保能夠收集到能夠支持指標的數據，這些數據必須具備可操作性。 * 步驟四：建立風險相關指標 * 擬定能夠有效反映安全計劃對業務風險影響的指標，並連結回業務戰略與目標。 * 步驟五：聚焦於展示安全對企業的多重利益 * 確保指標能夠展示提升保護水平及降低風險的雙重利益，促進業務運作的有效性。 * 步驟六：建立內部控制以確保數據的完整性 * 確保數據的準確性和完整性，從根本上提升安全部門的公信力。 ## 結論 * 測量是管理的必要手段，良好的指標能夠幫助安全部門更好地融入企業的整體策略中，增強其在組織內部的影響力。