Для оценки эффективности внедрения корпоративной системы информационной безопасности можно использовать различные методы, например:
- Показатель эффективности решения инцидентов. 1 Это процент зарегистрированных инцидентов, которые были успешно нейтрализованы системой. 1 Например, если из 100 инцидентов 95 были решены полностью, а 5 остались незакрытыми, эффективность составляет 95%. 1
- Процент идентифицированных инцидентов от общего количества произошедших. 1 Этот показатель демонстрирует, насколько полно система контролирует ситуацию с безопасностью в компании. 1
- Сравнение ключевых показателей эффективности с аналогичными метриками других организаций и рекомендуемыми стандартами. 1 Полезно провести бенчмаркинг с компаниями той же отрасли и сопоставимого масштаба. 1
- Оценка затрат на информационную безопасность. 4 Для этого используют показатель совокупной стоимости владения (TCO) — сумму прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение системы. 4
- Риск-ориентированная оценка. 4 При таком способе рассматривают риски информационной безопасности, возникающие в информационной сфере организации, и сопоставляют существующие риски и принимаемые меры по их обработке. 4
- Использование специализированных опросников. 3 Они рассматривают такие аспекты, как соответствие системы информационной безопасности требованиям, уровень профессиональной подготовки специалистов в области информационной безопасности и другие. 3
Также для оценки эффективности системы информационной безопасности используют экспертную оценку, статистический анализ рисков, моделирование информационных потоков и другие методы. 2