資安管理績效如何評估？

要如何評估安全管理成效？與其他的「XX長（CXO）」比起來，安全長出現在企業的資歷算是最淺的，不只是工作範圍的認定模糊，它不像風險管理可以透過數字量化呈現。績效評估的方法也還在討論當中。資安部門與IT部門在績效評估上，可以說是命運共同體，都企業被視為「只懂花錢」的單位，對公司的貢獻無法被量化。隨著資訊部門「服務化」，資安的（Service Level Agreement，SLA）如何被呈現？也是「資歷尚淺」的安全主管共同關心的話題。

除了定期做所謂的資安自我健康檢查，發現企業風險所在的同時，顧問公司多會建議企業從各個層面檢查，並參考BS7799或ITIL等認證標準中的控制項目，檢視安全部門的達成率，作為不同職務的績效評估標準。

沒有出事是否就是績效表現？與IT部門面臨的問題相同，網路順暢不斷線是否等於工作績效優異？「沒事發生」的背後究竟有什麼意涵？徐子文強調，對於安全管而言，有事件發生並不完全負面，一味追求「沒事」，員工就算發現異常，也不敢報案，很容易產生「吃案」的情況。

事件從發生、發現、回報、處理、責任歸屬到分析、報告，都可以從這些過程中評斷績效，沒有事件不代表一定安全，有時候可能是早期預警機制奏效，可怕的是完全沒有發現或沒有曝光，反而容易成為風險來源。

徐子文認為，建立量化標準不是不可能，像是針對警衛設計專屬的檢查項目，有沒有達到或是有沒有做到立即回應，都可以作為評估與分析的標準，事後還可以作為資安宣導與教育的實際案例，可以說是一舉兩得。