|CIO必须知道的16项结果驱动指标（下）

文章图片

文章图片

此前，发布了《CIO必须知道的16项结果驱动指标（上）》、《CIO必须知道的16项结果驱动指标（中）》，这周继续更新完结篇——《CIO必须知道的16项结果驱动指标（下）》：

12 访问权限移除时间：在（雇员）提出离职请求后，取消关键访问的时间
从终止对敏感或高风险系统或信息的访问请求到取消所有访问的平均小时数是多少？
取消设置访问所需的时间越长，未经授权的个人访问他们不再有权访问的数据的时间就越长。终止和撤消保护在不同的组织中差异很大，所以它是基于组织对终止访问的定义，这将被视为一种威胁。访问删除时间是解决未经授权的系统和数据访问的保护级别，也是你在访问控制方面投资的价值衡量标准。
范围内访问更改请求是指需要删除对敏感或高风险系统或信息的访问的任何更改。
“所有访问”：这包括提供敏感数据和资源访问的目录、应用程序和所有身份验证通道。
“访问终止时间”：从收到原始请求终止员工访问到取消所有访问的时间。
访问删除时间的计算：
访问删除时间=最近12个月期间，所有域内访问变更请求的所有访问终止时间除以域内访问终止请求的总数。

13 特权访问管理：控制“永远在线”的个人特权账户
【|CIO必须知道的16项结果驱动指标（下）】你的个人特权账户与应该使用这些账户的人的比例是多少？
特权访问最好是实时的，也就是说，授权用户将在短时间内获得特权访问，然后失去它（直到他们再次需要它）。然而，一些例外情况将需要被批准，这个数字应尽可能保持在低水平。始终在线的账户与可能使用这些账户的个人的比例是对未经授权访问敏感、强大账户的保护水平，也是你在特权访问管理方面投资的价值衡量标准。
在业务范围内的个人和账户，即：范围内的个人是需要访问特权帐户的系统管理员；范围内的帐户由范围内的个人拥有，并具有特权访问权限。
“特权帐户”具有特权访问，可能对生产系统或其他业务结果产生负面影响，包括访问敏感信息。
特权访问管理的计算：
特权访问管理=在最近的12个月期间中，特权帐户的数量除以范围内的个人数量。注：如果特权账户数量超过个人数量，则此比率可能大于1 。

14 安全意识培训：员工安全培训覆盖率
你的员工和承包商中有多少比例已经完成了强制性的安全培训？
经过培训的员工更有可能在他们的角色中理解并执行正确的安全行为。受过培训的员工是人们理解安全行为的保护措施，也是你对人们以安全方式行事的投资的价值衡量。
范围内的个人由每个组织定义，通常包括员工、承包商和其他能够访问关键和高风险系统的人。
安全意识培训覆盖范围的计算：
安全意识培训覆盖范围=在最近的12个月期间内，完成强制性安全培训的范围内个人总数除以范围内个人总数。

15 网络钓鱼培训的点击率：识别和避免网络钓鱼邮件
在过去的12个月里，你的标准组织范围内的网络钓鱼活动的点击率是多少？
衡量点击率并不是一个完美的措施。然而，它是非常普遍的，而且它已经与你的董事会和高管进行了社交。网络钓鱼培训的点击率是防止员工点击危险链接的保护级别，也是对你在网络钓鱼培训中的投资的价值衡量。