随着各界对信息管理重视程度的加强，越来越多的组织依据ISO 27001标准来建立自身的信息管理体系(ISMS)，对于ISMS的建立的过程和方法已经有很多的资料可以参考，然而对ISMS的性进行测量则是一个比较新的课题。
一、为什么需要对ISMS进行测量
为什么要对ISMS的进行测量呢换句话说，进行ISMS测量的意义及价值是什么，下面从以下几个角度来评述。
1. 对信息管理目标的考核
组织在建立ISMS时都会依据组织业务的发展、各利益相关方要求及组织的信息管理水平等，来设定自身信息管理的目标，通过测量，不但可以好的对信息目标达到的程度进行考核，准确的衡量ISMS的绩效，而且还能够为管理层对信息管理的资源投入提供数据依据。
2. ISMS持续改进的重要依据
在建立ISMS时，通常都会进行风险评估及风险处理措施的实施，如果不进行行测量，就不能反映出当前组织的各措施的如何，即无法表现出信息的改进在哪些方面。通过测量，能够的反映出当前组织的信息存在问题及问题的严重程度，为今后的信息的工作点提供有力的依据。
3. 信息管理工作的绩效考核
测量结果是衡量ISMS绩效的重要标准，也是对信息管理组织工作绩效的一个有*利的侧面展示，通过测量的数据，不但可以使管理者清晰的了解信息安*全管理工作，而且还能增信息管理工作人员的信心。
4. 标准(ISO 27001)的符合性要求
众所周知，ISO 27001标准中明确要求组织定义测量体系，并实施之获得数据，衡量所实施ISMS的。通过ISMS测量工作，标准的要求，而且是推动ISMS持续改进的动力。
二、进行测量需要注意什么
在对ISMS进行测量的时候，我们应该遵循什么样的原则呢我认为只要遵循“有依据、、能比较”这三点原则，那么设计出来的测量体系就是比较好的。这三点原则说明如下：
1) 有依据：测量的过程中，不是为了测量而测量，不是为了标准而测量，各项指标的设定1定要有理有据，每个测量的指标都应当能够具体反映出ISMS的运行状态。
2) ：一个不能的测量指标体系是没有意义的，所以测量指标体系1定是清晰、明确，具体的，而同时又是容易收集、不能花费太大的成本的，否则设计再好的测量指标体系都无的贯彻执行。
3) 能比较：测量的结果1定是可比较的，可以通过量化的数值、图形化的参考来展现测量的结果，这样能够清晰、直观的观察到ISMS的状态趋势。
三、如何进行测量体系的设计
前面谈到了进行测量的要性以及建立测量指标体系的原则，那么如何建立一个测量的体系呢下面结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。
1. ISMS的Plan策划阶段
随着整个ISMS的策划，有测量的工作其实已经可以开展，这个阶段主要是收集测量的需求，为测量提供输入，是进行测量指标体系设计的基础。具体的活动如下：
1) ISMS目标建立：测量1定要与组织的业务目标相关，是为了组织的业务目标而测量的，这是进行测量的一要点。在ISMS策划阶段建立组织ISMS的业务目标时，1定使ISMS的目标能够反映组织的业务目标，并且这个目标需要遵守SMART原则，即要具体(Specific)，可量化(Measurable)，-可达成(Achievable or Attainable)，现实的(Realistic)，并且有限定的时间期限(Timely)。
2) 利害相关方关注收集：在ISMS的策划阶段，可以收集各利害相关人的关注点，比如：客户的信息关注点、股东或高层的信息关注点、上级或的信息关注点等，这些都是建设ISMS的重要信息输入，同时也是测量的点关注内容。
3) 历年总结：信息的频次，能够在1定的反映出组织信息的薄弱环节，这些高频次的作为测量的一个点，来跟踪验证针对信息措施。如以往发作的比较高，那么可以将发作次数、软件的安装率、系统的补丁新率作为测量的指标来进行测量，以反映出控制措施的。
4) 信息高风险归纳：在策划阶段进行风险评估中的信息高风险，是需要组织须要处理的，而且这些高风险同时是需要被跟踪的，因此信息高风险须能够反映到测量的指标体系中去，来验证信息高风险的控制措施是否。
按照上面所讲的方面进行测量的需求信息收集，来为测量提供有力的输入信息，这样在进行测量指标的设计的时候，就能够做到有理有据。
2. ISMS的Do运作阶段
在ISMS的运作阶段，需要对测量体系进行详细的设计，主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析：
1) 分析测量需求：对于策划阶段的测量的输入进行归纳整理，在这个基础上还可以考虑加入一些其它方面的只要指标，比如ISMS的重要活动、信息管理的日常等，这些方面统一分析整理，得出一套需要进行测量的重要指标。
2) 测量指标分解：对归纳出来的各项重要指标做进一步分解，对应到ISMS的各项具体度量项，并为每项设定度量目标的阀值。
3) 测量指标采集方案设计：测量指标采集方案的设计是将各项指标如何测量进行定义，包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案1定要具体可行，指标采集频度可以根据不同的指标区别对待，在制定责任人时应尽量避由直接测量自己工作的指标。
4) 测量指标的记录：按照测量指标采集方案的频率进行检查，并且按照时间线进行记录，记录的数据应客观准确，这样才能的反映问题。
在此阶段的过程中，测量指标的选取是一个点，同时也是一个难点，不能测量的指标过少，但同时也没有比较的控制点进行测量，下面是一个测量指标分类的参考，可根据实际情况选取一些关键的指标进行度量。
- 管理控制措施：如目标、意识等方面;
- 业务流程：如风险评估和处理、选择控制措施等;
- 运营措施：如备份、防范恶意代码、存储介质等方面;
- 控制措施：如防火墙、入侵检 测、补丁管理等;
- 审核、回顾和测试：如内审、外审、符合性检查等。
3. ISMS的Check控制阶段
在ISMS的控制阶段，需要做的事情有两个方面，一是根据测量的结果对ISMS进行评价，另外一个需要对测量体系进行评价，两方面的工作具体来说为：
1) 评价ISMS运作：体系管理组根据指标分解的层次，对指标进行计算、整合及分析，检查各层次指标是否目标要求，并对整体状况进行评估，得出ISMS做的好的方面以及需要改进的方面。
2) 评价测量指标：根据测量、分析结果，评价测量体系的贡献，并从中找到需要改进的区域，调整测量指标体系，为ISMS的测量好的提供服务。
4. ISMS的Act改进阶段
在ISMS的改进阶段，基于控制阶段的分析，对ISMS及测量指标体系分别进行改进，使之鞥好的为ISMS服务。
四、总结
有句话叫“你不能改进你不能测量的东西”，这说明了测量的重要性，希望能够通过测量为ISMS的建设提供好的服务，希望ISMS为组织业务高的价值。