搞懂安全意识度量指标

在“人为因素”占网络攻击与数据泄露事件比例如此之高的全球安全态势下，开展有效的安全意识教育计划仍然是任何组织网络安全建设不可或缺的关键一环。然而，如何度量和证明安全意识计划的有效性颇具挑战。

“If you can’t measure it, you can’t manage it”。没有度量，就没有管理；没有管理，就没有绩效；没有绩效，也就失去了意义和价值。然而，传统安全意识教育计划（包含培训/宣贯/演练/活动等等）的度量并不好做，国内外业内并没有统一的标准，一直是困扰甲方安全团队或乙方安全意识厂商的难题之一。本文结合作者亲身实战经验、前瞻研究和最佳实践，试图解开安全意识教育度量的谜题，所建议的度量指标，仅供业内专家探讨。

困局：衡量安全意识计划的有效性

在实践中，很多企业安全团队或管理层有可能是凭借主观感觉(拍脑袋)、通过表面浅层的努力(如宣贯、培训与演练等)、依赖于少量或片面的可量化指标（培训完成率、考试通过率、钓鱼中招率等）来评估、度量和评价安全意识工作的有效性。缺乏一个全面、合理、体系化的度量指标框架作为评判标准，意味着安全团队或管理层自己也不知道哪儿做得好哪儿做得不好，无法有效证实工作的价值和投资回报（这个钱花得到底值不值？）。

无法证明资源投入的合理性和预期收益，财务负责人和管理层就不情愿批相关预算。资源投入水平低（无预算或预算低、投入时间少、没有专职安全意识岗位或只是指派一两个人兼职投入一小部分精力），就只能东打一棒西打一耙，零散、随机地做做宣贯和培训， 而不是系统性、结构化地开展全面的安全意识计划。这样的结果就是安全意识教育只停留在浅层的知识传播层面，员工参与度不高甚至敷衍了事，而缺少全体员工的积极主动、自动自发地参与，就谈不上知识吸收与保留，也就没有安全知识转移、安全行为与习惯养成的发生，降低“人”的风险也就成了一纸空谈。在人、技术、流程三道防线失衡的情况下，以企业“员工”为目标对象，利用人性弱点或人为错误，通过精心设计的社会工程学与网络钓鱼，攻击队/真实黑客在HW演练/真实攻击中常常可以将企业内网一打就穿、一击就破。

从安全意识教育计划，从不成熟到成熟，大致可简单划分为三个阶段：合规阶段(初级)、意识与行为阶段(中级)、文化阶段(终极)，三个阶段对应不同的教育目标、核心活动与教育技术、度量指标。

与企业安全意识教育的三大类目标相对应：即满足合规性（内外部法律合规与监管、审计、考核要求）、降低人的风险（改变员工的风险行为或培养预期的安全行为）、打造组织网络安全亚文化（企业文化变革），安全意识计划的度量指标也可以分为三大类，即合规性指标、影响力指标、文化软实力指标。综合这三类指标，选择关键指标形成度量矩阵，可以较客观、准确地衡量安全意识教育计划的成功与否。

合规性指标：关注的是教育培训活动的组织、交付和完成情况。如下图所示，合规性指标往往不关注有效性或效果。对于管理层仅关注是否合规或安全意识工作资源投入不足的企业来说，这类指标是必要的统计数据，表明培训已达到了合规的最低目标。更精细化的合规性指标，还可以细分为新员工/外包人员的覆盖率/通过率、部门之间覆盖率/通过率的对比、课程学习的停留时长、课程的评价反馈/点赞/转发率等等，这些指标可以衡量员工对培训的投入程度。合规性指标往往不关注有效性或效果。对于管理层仅关注是否合规或安全意识工作资源投入不足的企业来说，这类指标是必要的统计数据，表明培训已达到了合规的最低目标。

影响力指标：关注的是行为改变、实际效果和成本收益层面。包括但不限于：信息安全事件数量、攻击事件数量与上报率、钓鱼演习中招率与上报率、社会工程学攻击中招数量、账号密码设置强度情况、安全制度违规率、日常行为抽检合格率等等。更深层的影响力指标，还可以细分为安全事件从检测到响应的时间减少、平均恢复时间与修复成本降低等。所有这些指标都可以表明行为改变正在发生（或没有发生），并提供了成本收益数据以支持未来的安全意识计划。

文化软实力指标：关注的是组织文化的变革、组织战略一致性、员工动员与激励等。除了上述两类“硬指标”，文化层面的“软指标”也是衡量安全意识工作质量的重要参考，例如：员工对信息安全的认知/态度/信心/责任心、员工本身的安全感与自我效能、是否善于自主管理身边的安全风险、是否互相帮助和提醒安全事件、员工的培训满意度（知识的相关性/通俗易懂性/吸引力/易操作等）、员工与安全团队的融洽关系、安全意识对于企业品牌、公众信心、竞争力的间接积极影响等等。