临近岁末，一年里行业所经历的风风雨雨终将过去，有人比喻到，安全就是桥两边的护栏，不出事谁也感受不到它的价值，没有又觉得不踏实。确实，基础性的安全体系建设效果，脱离了事件往往很难具体量化，但黑暗森林法则似乎告诉我们，只要洞悉到你的存在，被盯上、被攻击将迟早成为必然。那么企业安全的价值到底该如何度量？本期甲方群话题就以此展开讨论：

在企业常用的数据安全、基础攻防等方面，到底应该怎样衡量其安全效果？

（本文所有ID已做匿名处理）

@风逍遥

企业安全的价值细分就是具体信息数据的价值。机密性，完整性，有效性被破坏以后的损失。传统做法就是数据分类，风险评估。

......

按业务和数据重要性，如果数据是直接影响到公司营收的那么肯定价值偏高，所对应的安全价值也高了，安全投入也要高。如果你这个数据是内部系统的，安全价值也低了。

@非然踏古

数据安全、基础安全，可能你什么都不做，一年也都不出问题，也可能你花了很大力气，花了很多钱，却还是出了很多问题。。。

@北城

想再企业搞安全建设，需要遵从老板认可的标准，不然没法做

@西城周润发

很难衡量，这个给不了价值范围，只有被攻击时候产生的损失能够看出来。比如模拟演练下，整个办公室断网1小时、 半天的损失情况；财务领导电脑中毒打不开，一天工作量损失情况；档案管理同事电脑打不开，D盘里存的资料损失情况。

@北城

国企、私企，按着等保要求来，外企国外有标准。

@小楼

对国企而言，监管合规不被通报，就是安全的价值。

@风逍遥

衡量效果一般都是对比。比如你说安全意识，我们都是培训以前钓一次鱼，安全意识培训以后钓一次鱼。对比下数据。或者看用户上报钓鱼邮件的ticket数量。汇报就是今年用户反馈钓鱼事件比去年提高了xx%。

@小楼

但实际安全的价值，在于全员参与，人人提高安全意识，紧贴业务，保障公司业务、战略高速发展，不拖后腿即可。

@风逍遥

这个安全价值在CISSP里面有大量的章节说这个内容，比如营收、企业声望（搞安全的比如被攻击了、比如fireeye，那么你行业声望肯定低了）、安全收益、风险价值一系列的。

@东临碣石

企业安全总体愿景->安全目标->差距分析->建设计划，总量不变的情况下，只能选择优先级进行建设。

效果在建设计划里面就设定了具体的量化指标。

@非然踏古

关于安全预算，之前我看有大佬说要分成三份：外部情报收集，包括众测和SRC建设；安全感知系统建设；防御系统建设。

@胡

补充一点，安全的价值是在发生安全事件的时候有一套方法论去处置、应急，而不是坐地发呆，手足无措。这几年看到了有的兄弟单位手足无措，疯狂打电话找外援的样子，很心疼。

@风逍遥

这就是缺少应急处理流程：检测>响应>缓解>报告>恢复>修复/整理>经验教训。

@东城逍遥游

这个是通过应急响应来度量安全的价值上。

@北城

流程其实有时候没啥用，安全问题导致系统奔溃，领导关心的是什么时候能恢复，不会关心流程是不是正确。如果5分钟就恢复，没流程也问题不大。

@风逍遥

可能企业风格不一样，外企领导就是关心我们整个流程是不是正确。每一步有没有实施。恢复的时间是不是按照原来计划定义的。

外企一般都会定义故障恢复时间，业务恢复时间等一系列指标。根据指标来决定流程。比如供应商到现场时间，备用设备到的时间。安全事件发生的时候，无非就是走一遍流程，处理不掉就升级，最后无非就是启用灾难恢复。

@随风起

外企相比国内更加注重业务的连续性，国内更加注重事件影响的大小。

@东城逍遥游

一个是根据安全事件体现价值，一个是通过处理速度来体现价值。

@只是简单说句话

安全价值或者收益，我觉得有几个方面：

1、保障生产安全稳定运行；

2、做好主动防御，防患于未然；

3、提高全体信息安全意识，做好意识宣贯，减少员工被钓鱼或泄露敏感数据；

4、做好内审，充分发挥1.5道防线职责；

5、健全规章制度，为员工行为提供指导和规范；

6、积极响应国家和监管政策，从容面对外部审计；

7、数据资产保护应急到位，维护企业品牌价值；

8、对自身工作亮点进行“包装”，高举高打，提高企业在业内知名度。

@桥某人

之前看到宣传做的好的，总结是写修复了多少漏洞，为公司避免了多少万/亿的损失这种。

@东城逍遥游

修复漏洞，阻止了多少次攻击， 都可以写上去，不过预防了多少的损失，这个就不好界定了 。

@非然踏古

说避免了多少损失有时候很主观，真要检验成果的话，搞搞红蓝军对抗其实也可以。

@随风起

可以搞搞蜜罐，给领导多层面分析一下。

@巧克力不旷课

单纯写阻止攻击其实不太有用，要说现在业务系统原先多少受影响的，在安全的努力下有还剩多少没修的，安全做了哪些工作进而避免损失加剧，给业务部门争取了多少修复时间。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码申请加入FreeBuf甲方群，小助手周周送福利，获取最新行业秘籍，还不赶快行动？

如有疑问，也可扫码添加小助手微信哦！