国外媒体（eWeek.com）报道：非盈利性组织CIS（互联网安全中心）计划在近日发布一组IT安全测试标准，超过80名来自政府、学院和商业的IT安全专家参与制定了这组标准。这组标准将通过一个经多数人同意使用的测试棒（译者注：类似U盘），来帮助机构组织测定他们的安全状况。最初的测试标准大致包括：安全事件发生的平均时间、应用安全策略的系统打补丁的百分比、经过风险评估的业务应用程序的百分比。

其他的标准有：安装防病毒系统的百分比、经授权标准配置的系统的百分比、灾难恢复平均时间和经过安全评估、威胁行为分析的应用程序代码百分比或生产软件前进行的代码评估百分比。

“企业的管理者和信息安全人员难于做出成效（译者注：成本、效益）合适的信息安全投资决定，主要是因为他们缺乏明确的、可靠的、广泛被认可的结果测试标准，来做为决策支持。”CIS首席执行官德特·穆奇奥（Dert　Miuccio）在一次讲话中说道：“立法者和行政人员想知道他们的花费的价值所在，但客观的说，安全人员对此种价值的定义和测量越来越成为一个难题。我认为合作并取得一致意见可以最有效的化解这些难题。”

除了这组标准之外，CIS还计划在下半年公布一个基于软件的服务，旨在不同的机构组织之间做匿名的安全状况比较，并把安全实践同结果联系起来。

“新的CIS信息安全测试标准将为制定信息安全策略并评估它的执行效果提供必要的数据，”穆奇奥说：“这些数据将为那些依赖于网络的企业，在制定成效信息安全投资时提供一个合理的依据，以更好的保证信息的实用性、有效性和完整性。”

来源：中国计算机安全