隨著國家對信息安全工作重視程度的日益提升，以及企業(yè)自身對信息安全管理要求的不斷提高，不少企業(yè)已開始通過建立一系列的信息安全管理制度、實施必要的技術(shù)手段等方式來加強企業(yè)的信息安全。但在運行了一段時間后，管理者不禁要問，采取的這些控制措施是否仍然有效？需要持之以恒去做的工作是否還在不斷有效地進行著？而解決這些問題，需要通過目標管理和信息安全管理有效性測量的有機結(jié)合來實現(xiàn)。

    現(xiàn)代管理學之父——彼得·德魯克說過，不是有了工作才有目標，而是相反，有了目標才能確定每個人的工作。所以，“企業(yè)的使命和任務(wù)，必須轉(zhuǎn)化為目標”，如果一個領(lǐng)域沒有目標，這個領(lǐng)域的工作必然被忽視。信息安全管理也如是，企業(yè)的信息安全需要每個人的參與，管理者應(yīng)該通過目標對下級進行管理，當企業(yè)高層管理者確定了企業(yè)的信息安全目標后，必須對其進行有效分解，轉(zhuǎn)變成各部門以及各個人的分目標，管理者根據(jù)分目標的完成情況對下級進行考核、評價和獎懲。這樣就能夠使人們用自我控制的管理來代替受他人支配的管理，激發(fā)人們發(fā)揮最大的能力把安全做好。

    首先，在策劃信息安全管理體系時，要明確信息安全的管理目標。其剛性要求來自國家的法律法規(guī)以及客戶的要求，企業(yè)自身的要求則是彈性要求，重在與公司業(yè)務(wù)目標的結(jié)合。目標的制定要遵循“科學性、可操作性、預見性和可量化性”的原則，對目標進行分解時，要綜合考慮風險評估的結(jié)果與信息安全管理制度的要求，既不能“遙不可及”也不能“觸手可及”。隨后，明確測量指標、測量方式、數(shù)據(jù)來源、負責人以及測量頻度等內(nèi)容，以便為收集數(shù)據(jù)打下良好的基礎(chǔ)。

    其次，在實施信息安全管理體系時，要確保所收集數(shù)據(jù)的真實性。在相應(yīng)負責人提供數(shù)據(jù)的基礎(chǔ)上，由匯總數(shù)據(jù)的信息安全專員或組（根據(jù)企業(yè)的信息安全組織結(jié)構(gòu)而定）進行數(shù)據(jù)的抽樣確認，以確保數(shù)據(jù)的真實可靠，為隨后數(shù)據(jù)分析結(jié)果的準確性提供保障。

    第三，在監(jiān)視和回顧信息安全管理體系時，對數(shù)據(jù)進行分析并評估報告結(jié)果。對數(shù)據(jù)進行分析時，分析的內(nèi)容隨企業(yè)的關(guān)注點不同而有所不同，一般包括測量指標的達成情況、現(xiàn)有控制措施是否有效、指標制定的合理性、風險狀態(tài)的趨勢預測等內(nèi)容。隨后形成分析報告提出改進建議，并通過內(nèi)部審核、管理評審等活動評估有效性測量方法的合理性，測量結(jié)果的有效性，以及改進建議的適宜性。

    最后，在維護和改進信息安全管理體系時，對評審通過的有效性測量改進內(nèi)容制定改進方案并加以實施，在適當時候進行改進結(jié)果的驗證確認，以不斷完善信息安全管理的有效性測量，為企業(yè)信息安全管理目標的合理設(shè)定與達成提供有利保障。