网络安全框架旨在通过改进对组织目标的网络安全风险的管理来降低风险。理想情况下,使用框架的组织将能够度量和分配风险值,以及为将风险降低到可接受水平而采取的步骤的成本和收益。一个组织越能衡量其网络安全策略和步骤的风险、成本和收益,其网络安全方法和投资就越合理、有效和有价值。
随着时间的推移,自我评估和衡量应该改进有关投资优先次序的决策。例如,随着时间的推移,对组织的网络安全状态和趋势进行度量(或至少健壮地描述)可以使组织理解并向依赖方、供应商、买家和其他各方传达有意义的风险信息。组织可以通过内部或寻求第三方评估来完成。如果处理得当,并考虑到局限性,这些度量可以为组织内外的牢固信任关系提供基础。
为了检验投资的有效性,一个组织必须首先清楚地了解其组织目标,这些目标与支持性网络安全结果之间的关系,以及这些离散的网络安全结果是如何实施和管理的。虽然对所有这些项目的衡量超出了框架的范围,但框架核心的网络安全成果支持通过以下方式对投资有效性和网络安全活动进行自我评估:
- 选择网络安全运营的不同部分应该如何影响目标实现层的选择,
- 通过确定当前的实施层级来评估组织的网络安全风险管理方法,
- 通过开发目标档案来优先考虑网络安全成果,
- 通过评估当前配置文件确定特定网络安全步骤达到预期网络安全效果的程度
- 衡量控制目录或技术指南的实施程度,列为信息参考。
网络安全性能指标的发展正在演变。组织应该考虑周到、有创意,并谨慎地使用测量方法来优化使用,同时避免依赖当前状态和改进网络安全风险管理进展的人工指标。判断网络风险需要自律,应该定期复查。在框架过程中,任何时候测量都是被使用的,鼓励组织明确地识别和了解为什么这些测量是重要的,以及它们将如何有助于网络安全风险的整体管理。他们还应该清楚所使用的测量方法的局限性。
例如,跟踪安全措施和业务结果可以提供有意义的见解,了解细粒度安全控制中的变化如何影响组织目标的完成。要验证某些组织目标的实现,只需要在目标已经实现之后分析数据。这种滞后措施更为绝对。然而,通常更有价值的是预测网络安全风险是否会发生,以及它可能产生的影响,使用领先的措施。
鼓励组织在充分了解其有用性和局限性的情况下,创新和定制如何将度量纳入框架的应用。