Центр по Internet-безопасности (CIS) опубликовал свод метрик корпоративной безопасности Security Metrics 1.0, а организация Open Group - новое руководство по методике оценки рисков.
В Security Metrics 1.0 собрано 20 определений метрик для численной оценки уровня безопасности. Они охватывают шесть областей: аварийность, уязвимости, управление обновлениями, безопасность приложений, управление конфигурациями и финансы. К сожалению, метрики позволяют лишь отслеживать текущее положение, но не дают ответа на вопрос о том, сколько нужно потратить на обеспечение безопасности.
Руководство от Open Group излагает общие принципы, достоинства и недостатки различных методов оценки рисков - тестирования, выборочного контроля, анкетирования и так далее. В Open Group намереваются создать средства автоматической оценки рисков на базе общих стандартов и языка разметки для автоматических систем обеспечения выполнения требований ACEML (Automated Compliance Expert Markup Language). Разработку возглавит корпорация IBM.