《Security Metrics》安德鲁·雅奎思-安全度量-2007

《SecurityMetrics》是一本关于企业安全指标的综合最佳实践指南。它强调了安全活动的量化方法，如何收集、汇编和分析相关数据，以及如何为高级管理层提供可信度高的信息。这本书的作者Andrew Jaquith曾在多个公司担任项目经理、方案经理和技术顾问等职务。他在风险管理领域也有丰富的经验。

对于风险管理这个核心话题，安全的核心在于流程管理。这意味着需要建立可量化、可执行的流程，并在日常操作中进行周期性的监控和评估。这种思路与当前强调数据驱动决策的趋势相吻合。利用客观的、可度量的指标来评估行为的有效性和质量，可以帮助企业更好地管理安全。

文章还介绍了风险管理的四个阶段：问题识别、报告、问题优先级排序和纠正措施。然而，在实际操作中，这些阶段常常会出现偏差。作者指出，最初阶段的发现往往会引发恐慌，员工开始担心老板的反应。在最后阶段，人们往往倾向于采用简单粗暴的方式来掩盖问题，期望问题能自行消失。这种偏差可能导致风险管理的失败，因此对风险具有敏感意识和明确的执行流程非常重要。

与此类似，研究的流程和评估一个人对某一事物的理解深度也有共通之处。它们都需要关注问题的检测、理解和解决阶段。在研究中，首先需要进行文献调研，了解当前领域内其他人的研究成果。然后，指出现有解决方案的不足，提出自己的解决方案。最后，构建针对某一问题的解决方案。同样，对于一个人的理解深度，可以通过他是否能够发现该领域目前存在的问题来进行评估。

在度量风险管理的过程中，需要找到一些指标来衡量和标准化。这些指标应该是客观、可计算的，能够帮助我们理解风险管理的现状和效果。选择指标的方法可能有多种，每个人的观点也可能不同。在选择指标时，还需要考虑指标的有效性。一个理论上的原则是MECE，即子类间应互斥且总体上完备。这样的指标虽然不是完美的，但它们在日常生活中常被使用。

解决风险问题的过程类似于科学研究的方法。它包括构建关于现象的假设、设计实验以支持或反驳假设、严格执行和衡量每个测试的结果，以及根据证据得出结论。这个过程需要持续不断地循环，持续寻找解决问题的方法。

综上所述，《SecurityMetrics》讨论了企业安全指标的重要性和实践方法。它强调了流程管理和数据驱动决策的重要性，并提供了如何度量风险管理和解决问题的方法。这本书对于企业安全管理人员和相关人士来说是一本有深度的指南。