1 概述

我们应该逐步认识到安全不是业务的衍生品，而是必须品，未建设安全的业务都是纸老虎，一触即溃。

安全从业人员都有有一种直观的感受，安全建设效果不明显，举例来说某公司今年安全建设投资100w，但是并没有出现什么安全事件，明年的安全建设直接被高层管理砍成50w，如果是以安全事件的发生次数来判断，高层人员的做法确实无可厚非，但是作为安全人员肯定不是这样认为的，今年未出现安全事件的原因可能是因为黑客并未针对我方展开攻击，或者已经被攻击了但是我们并未发现。因此我们必须制定安全的指标，将安全的“效果”展示出来，本文我们就来讨论“安全度量”的建设思路。

甲方经年来经常提出的几个问题来引入我们今天的话题。

目前我企业的安全环境是如何的，在同行或者全国的安全建设属于什么水平，后续我还可以做哪些努力来解决目前的痛点？

如果你可以为客户解决如上的问题，害怕甲方爸爸不买你的安全产品吗？

如果你只是关注自身安全产品的优势，而没有考虑甲方的现状和困点，无论你的产品是业界第一还是销量第一，你都很难在此类客户做出突破，因此这些年解决方案才成为业界的主流，不局限一个产品能力，需要大一统融合的能力来解决实际出现的问题。

2 安全度量是什么？

安全度量可以理解为在固定的时间节点上多个安全因素所表现出来的安全态势，也就是通过多安全场景进行量化得出企业目前的状态，是安全的还是有风险的，既体现了往年投资安全的效果，也同时为后续的建设提供了指引。

引用管理学大师德鲁克说的“你如果无法度量它，就无法管理它”，如同我们高中书写的议论文一般，需要有论据来支撑我们的论点，而论据则由多种方面组成，数字永远是最为直接和有力的证据。安全建设不再以某某事件发生有什么后果来“恐吓客户”，而是以全局的角度，告知客户目前你的企业安全环境是如何的，后续应该做什么。

3 安全度量在企业安全架构中的位置

在对“安全度量”进行讨论之前我们应该明白企业安全建设的几个框架：包括安全管理框架、安全防护框架、安全运营框架、安全服务框架等等。目的是为了保证业务不中断、业务可恢复等。

安全管理框架：一个小区配备几个巡逻人员、几个监控人员、每个人的职责是什么、在每个时间阶段需要做什么事情，这个就是我们的管理框架，在高层领导的制定下安全应该完成什么内容，保障什么东西，此处可以结合ISO/ISMS/等级保护等办法进行建设；

安全防护框架：我们现在所处的小区的安全建设通常都会有高墙/防盗网等手段来防止非法人员进入小区，此块内容就对应到我们的安全防护框架，目的是为了阻止不坏好意的人员进入小区；

安全运营框架：安防人员在大门或者监控值班室实时观看监控，这就是运营，保障我们的监控手段是否有效，弥补自动化的监控手段的趋势，这就是安全运营的内容，弥补机器弱点、保障机器运行、提升机器效果；

安全度