隨著國家對信息安全工作重視程度的日益提升，以及企業(yè)自身對信息安全管理要求的不斷提高，不少企業(yè)已開始通過建立一系列的信息安全管理制度、實施必要的技術(shù)手段等方式來加強(qiáng)企業(yè)的信息安全。但在運行了一段時間后，管理者不禁要問，采取的這些控制措施是否仍然有效？需要持之以恒去做的工作是否還在不斷有效地進(jìn)行著？而解決這些問題，需要通過目標(biāo)管理和信息安全管理有效性測量的有機(jī)結(jié)合來實現(xiàn)。

    現(xiàn)代管理學(xué)之父——彼得·德魯克說過，不是有了工作才有目標(biāo)，而是相反，有了目標(biāo)才能確定每個人的工作。所以，“企業(yè)的使命和任務(wù)，必須轉(zhuǎn)化為目標(biāo)”，如果一個領(lǐng)域沒有目標(biāo)，這個領(lǐng)域的工作必然被忽視。信息安全管理也如是，企業(yè)的信息安全需要每個人的參與，管理者應(yīng)該通過目標(biāo)對下級進(jìn)行管理，當(dāng)企業(yè)高層管理者確定了企業(yè)的信息安全目標(biāo)后，必須對其進(jìn)行有效分解，轉(zhuǎn)變成各部門以及各個人的分目標(biāo)，管理者根據(jù)分目標(biāo)的完成情況對下級進(jìn)行考核、評價和獎懲。這樣就能夠使人們用自我控制的管理來代替受他人支配的管理，激發(fā)人們發(fā)揮最大的能力把安全做好。

    首先，在策劃信息安全管理體系時，要明確信息安全的管理目標(biāo)。其剛性要求來自國家的法律法規(guī)以及客戶的要求，企業(yè)自身的要求則是彈性要求，重在與公司業(yè)務(wù)目標(biāo)的結(jié)合。目標(biāo)的制定要遵循“科學(xué)性、可操作性、預(yù)見性和可量化性”的原則，對目標(biāo)進(jìn)行分解時，要綜合考慮風(fēng)險評估的結(jié)果與信息安全管理制度的要求，既不能“遙不可及”也不能“觸手可及”。隨后，明確測量指標(biāo)、測量方式、數(shù)據(jù)來源、負(fù)責(zé)人以及測量頻度等內(nèi)容，以便為收集數(shù)據(jù)打下良好的基礎(chǔ)。

    其次，在實施信息安全管理體系時，要確保所收集數(shù)據(jù)的真實性。在相應(yīng)負(fù)責(zé)人提供數(shù)據(jù)的基礎(chǔ)上，由匯總數(shù)據(jù)的信息安全專員或組（根據(jù)企業(yè)的信息安全組織結(jié)構(gòu)而定）進(jìn)行數(shù)據(jù)的抽樣確認(rèn)，以確保數(shù)據(jù)的真實可靠，為隨后數(shù)據(jù)分析結(jié)果的準(zhǔn)確性提供保障。

    第三，在監(jiān)視和回顧信息安全管理體系時，對數(shù)據(jù)進(jìn)行分析并評估報告結(jié)果。對數(shù)據(jù)進(jìn)行分析時，分析的內(nèi)容隨企業(yè)的關(guān)注點不同而有所不同，一般包括測量指標(biāo)的達(dá)成情況、現(xiàn)有控制措施是否有效、指標(biāo)制定的合理性、風(fēng)險狀態(tài)的趨勢預(yù)測等內(nèi)容。隨后形成分析報告提出改進(jìn)建議，并通過內(nèi)部審核、管理評審等活動評估有效性測量方法的合理性，測量結(jié)果的有效性，以及改進(jìn)建議的適宜性。

    最后，在維護(hù)和改進(jìn)信息安全管理體系時，對評審?fù)ㄟ^的有效性測量改進(jìn)內(nèi)容制定改進(jìn)方案并加以實施，在適當(dāng)時候進(jìn)行改進(jìn)結(jié)果的驗證確認(rèn)，以不斷完善信息安全管理的有效性測量，為企業(yè)信息安全管理目標(biāo)的合理設(shè)定與達(dá)成提供有利保障。