随着预算规划时间的临近，关于如何衡量安全是否成功，从而为资源分配或扩张找到理由的讨论就回到了议事日程。有很多文章可以帮助我们确认安全标准，用以证明安全项目的价值，但是在选择标准之前，我们必须首先定义成功。而成功可能更是一门艺术而非科学。

安全工具也擅长告诉用户企业遭受了多少攻击，有多少系统得到了强化，有多少认证需要第二个因素。通过合规审计，企业还可以得到一些关于控制是否符合策略的报告。虽然依赖现成的标准是很容易的，但是我们如何确定哪些标准符合整体的业务优先级，从而能够真正衡量安全是否成功？

成熟的企业都倾向于衡量风险以及如何减轻风险，这正是IT安全最终要关注的全部。但是，即使所谓安全性做得最好的企业也可能用错误的标准来评估自己。

为真正衡量安全项目的成效如何，我们首先必须定义成功。

谁来定义成功？

安全团队和其他团队一样都趋向于自己定义成功。但是，如果预算有正当理由，或者企业有很强的能力，那么成功的因素就不能仅由内部的人员来决定。问题是，企业并不知道除了“不被黑客攻击”和“让审计人员高兴”外，又该如何描述从安全中得到什么。

有一种容易使用的可有助于缩小安全团队和企业管理人员之间差距的模式，即由底层到高层分别为目标、任务、策略、计划、行动五部分组成的结构。这是一种在性质上的层级结构，所以每一层都支持其上层。所以，我们不妨举个例子，可以从一个现实的目标开始：

减少数据泄露或信息丢失的风险，以满足行业内的标准。

由此可以确立任务如下：将完成系统更新（应用程序补丁）的时间减少50%；增加双重认证的使用，以覆盖全部的敏感数据；对所有管理员实施特权账户管理。

完成任务都要有相关的策略，有分解计划，进而为员工分解为特定的行动，以便于执行。

策略和行动推动着整体的企业成功，而目标是可测量的要素，这些正是企业与业务关系经理定义成功的因素。在此过程中，为实现共同的目标而进行的成本教育也是一个步骤。如果决策者在成本问题上犹豫不决，就有了改变目标的空间，所以，对企业来说这是很现实的。

衡量企业的健康程度

与企业协作是一种相互关系。虽然安全团队有必要教育企业的合伙人需要什么才能完成任务，企业也必须准备向安全团队提供具体计划和需要优先考虑的问题。换言之，企业必须分享其成功的衡量标准。

这种信息必须能够告知安全计划和优先处理的问题。必须至少每年重新评估一次当前的预算项目，用以决定项目是否必要以及是否符合业务计划。

例如，如果你将全部的预算都放在下一代防火墙的升级上，却发现通过新移动应用更好地吸引客户的业务计划中，有管理员在销售用户的个人信息，那么安全也就偏离了方向。随着数字时代的快速发展，非常关键的问题是，由于竞争者推动着企业在应对不断变化的市场需求时，变得日益灵活，从而使得企业以安全为核心而进行应对的时间也相应缩短。

衡量安全性是否成功的艺术归结为与业务的一致性。虽然这种衡量未必总是明显的一对一的匹配，却需为此付出努力。企业不应仅通过内部的固有标准来衡量安全性，而是应利用共享企业目标来推动安全性与业务优先级的更大一致性。