ตัวชี้วัดกำหนดระบบของมิติที่ขึ้นอยู่กับขั้นตอนเชิงปริมาณ ตัวชี้วัดที่มีประโยชน์ชี้ไปที่ระดับที่จะบรรลุวัตถุประสงค์ในการป้องกัน เช่น การรักษาความลับของข้อมูล และเป็นตัวขับเคลื่อนมาตรการที่ใช้เพื่อค้นหาโปรแกรมความปลอดภัยที่สมบูรณ์ขององค์กร ความเป็นส่วนตัวสามารถอธิบายได้ว่าเป็นการใช้การควบคุมการเข้าถึงที่ผู้อื่นมีต่อความเป็นส่วนตัวของเรา เช่น ความเป็นส่วนตัวของข้อมูล
ตัวชี้วัดอาจเป็นอุปกรณ์ที่ได้ผลสำหรับผู้บริหารความปลอดภัยในการมองเห็นประสิทธิภาพขององค์ประกอบต่าง ๆ ของโปรแกรมการป้องกัน ความปลอดภัยของระบบ ผลิตภัณฑ์หรือกระบวนการเฉพาะ และความถนัดของพนักงานหรือแผนกภายในองค์กรในการจัดการพื้นที่ความปลอดภัยที่พวกเขาอยู่ รับผิดชอบ
เมตริกยังช่วยระบุระดับความเสี่ยงในการไม่สร้างการดำเนินการที่กำหนด และด้วยวิธีดังกล่าว การจัดหาคำแนะนำในการจัดลำดับความสำคัญของการดำเนินการตอบโต้ นอกจากนี้ยังสามารถใช้เพื่อเพิ่มระดับความตื่นตัวด้านความปลอดภัยภายในองค์กรได้
การวัดความปลอดภัยมีแง่มุมต่างๆ ดังนี้ -
-
ความถูกต้องและประสิทธิผล − ความถูกต้องหมายถึงการรับประกันว่าแนวทางการบังคับใช้ความปลอดภัยได้รับการดำเนินการอย่างถูกต้อง (กล่าวคือ พวกเขาทำในสิ่งที่พวกเขาเสนอให้ทำอย่างถูกต้องแม่นยำ เช่น การนำการคำนวณบางอย่างไปใช้) ประสิทธิผลหมายถึงการรับประกันว่าแนวทางการบังคับใช้ความปลอดภัยของระบบเป็นไปตามเป้าหมายการรักษาความปลอดภัยที่ประกาศไว้ (กล่าวคือ พวกเขาไม่ได้ทำสิ่งใดนอกจากสิ่งที่แนะนำให้ทำ ในขณะที่ปฏิบัติตามความคาดหวังด้านความยืดหยุ่น)
-
ตัวชี้วัดชั้นนำกับความล้าหลัง − ตัวบ่งชี้ชั้นนำและครอบคลุมจะสร้างสถานการณ์ความปลอดภัยขึ้นใหม่ซึ่งเกิดขึ้นก่อนหรือหลังการเปลี่ยนแปลงความปลอดภัยที่สอดคล้องกัน ตัววัดความปลอดภัยที่ครอบคลุมด้วยขั้นตอนเวลาแฝงสั้น ๆ หรือเวลาหน่วง ดีกว่าตัววัดที่มีขั้นตอนเวลาแฝงที่ยาวนาน ตัวชี้วัดความปลอดภัยบางตัวถือเป็นตัวทำเครื่องหมายที่ล้าหลังได้
-
วัตถุประสงค์ด้านความปลอดภัยขององค์กร − องค์กรประกอบด้วยสาเหตุหลายประการ ถือทรัพย์สินหลายรายการ เปิดเผยต่อสาธารณะไม่เหมือนกัน เผชิญกับภัยคุกคามที่แตกต่างกัน และมีความอดทนต่อความเสี่ยงที่แตกต่างกัน เนื่องจากความแตกต่างหลายประการ เป้าหมายด้านความปลอดภัยจึงอาจแตกต่างกันมาก โดยทั่วไป เมตริกการรักษาความปลอดภัยจะใช้ในการพิจารณาว่าองค์กรบรรลุเป้าหมายด้านความปลอดภัยได้ดีเพียงใด
-
คุณสมบัติเชิงคุณภาพและเชิงปริมาณ − การกำหนดเชิงคุณภาพสามารถสร้างขึ้นเพื่อเป็นสัญลักษณ์ของกระบวนการเชิงปริมาณของคุณสมบัติความปลอดภัย (เช่น ต่ำ หมายถึงไม่มีช่องโหว่เกิดขึ้น ปานกลาง พบหนึ่งและห้า และสูง พบมากกว่าห้า) การประเมินมูลค่าเชิงปริมาณของคุณสมบัติความปลอดภัยหลายรายการสามารถชั่งน้ำหนักและแชร์เพื่อเปลี่ยนค่าแบบทบต้นได้
-
การวัดขนาดใหญ่เทียบกับขนาดเล็ก − การวัดความปลอดภัยได้ยืนยันแล้วว่าได้รับชัยชนะมากขึ้นเมื่อโฟกัสของการคำนวณมีขนาดเล็กและเรียบง่ายมากกว่าขนาดใหญ่และซับซ้อน เมื่อองค์ประกอบหลายรายการในระบบขยายใหญ่ขึ้น จำนวนการโต้ตอบที่น่าจะเป็นจะเพิ่มขึ้นตามกำลังสองของจำนวนส่วนประกอบ