Information Systems Audit and Control Association（全球ISACA）

量化信息风险和安全

信息风险和安全从业人员面临一个重要问题：缺乏有意义的指标。

信息风险应该被认为是一种不确定性。可以使用热地图或风险矩阵将风险量化。在最好的情况下,这是明智的猜测。糟糕的话，这些地图或矩阵不能正确地反映了一个不可思议、极低概率的事件，一旦发生将产生巨大的影响。

量化信息的不安全性也是类似的情况。我们都知道如何度量可用性，但测量保密性和完整性是另一回事，我们仍在等待好的指标。此外，收集历史数据仅仅是学术兴趣，除非这些数据可以用于趋势可视化，我们不是处理随机事件，因为网络攻击几乎总是故意的和有针对性的人类活动。

更多详情请访问：http://www.isaca.org/Journal/Blog/default.aspx