他坚持不到同僚家串门，不到下属家做客，不探视病人的三不原则。这个人就是林彪，在战争中，他说过的两句话：

1. 任何时间都不要依赖别人，要立足于自己的力量。
2. 我只有一种才能，绝不把打赢一场战役的机会搞砸。

你的生活是有谁来决定的？谁又是幕后黑手？如果你还以为这是危言耸听，那么请你去读读这本书。

如果你想了解比真刀真枪的战争更为残酷百倍的金融实战+国际风云+资本内幕+政坛操控，那么请你去读读这本书。

如果你只知道麦当劳、可口可乐、通用等美国公司，还没听说过“高盛”这家公司，那么请你去读读这本书。

通过一个有效的过程管理体系来保证持续的竞争力，这已经是企业在日益市场化、国际化、专业化的激烈竞争中的唯一生存之道。不同规模、不同类型、不同发展阶段的企业都希望通过建立系统化、法治化的管理体系，来提升企业的管理水平和运营效率。因此，建立一套制度化的管理体系已经提上了众多企业的议事日程。

然而，在企业进行制度化的管理体系建设过程中，却很少有企业能够通过获得期望已久的收益，最终仅仅是获得向外界推介企业、产品、品牌的一张证书。为什么国外先进的管理理论与思想在国内却频频受阻？为什么管理体系在国内企业难以真正的开花结果？下面我谈一下我的一些看法。

首先，从历史背景上来看，国内企业正处于由人治向法治转变的过程。

从历史发展来看，中国的社会从来都是人治的社会，主张人治的儒家思想在中国根深蒂固，人治主要主张为政在人，以身作则，通过使用贤人来治理国家。虽然人治在处理重大问题时能够体现出决策快、贯彻力度强等优势，但同时也具有秘密性、随机性和不可预知性等特点。

具体来讲，由于单纯的采用人治，前后标准难免不一致，管理随意性比较大，执行过程中无章可循，凡事请教上级，执行与沟通的效率都比较差；同时，人治主要依靠单个人的能力、影响力与经验，一旦发生人员变动，不但以前所做的工作难以继续，其工作的方式、风格和结果往往会变化很大，有时甚至是对前任彻底否定，甚至还会带来管理上的动荡和混乱。

企业管理也是如此，传统的企业管理手段通常是“管人”，强调只要人管住了，事情也就管好了。维持企业运转依靠管理经验、人际关系、领导威信等等，在人治模式下，对企业业务单纯、部门架构简单、工作人员少的小规模时期可以发挥推动力强、办事灵活、工作效率较高等优势，一旦企业发展到一定规模，这种管理方式将会直接导致沟通效果差、执行效率低等弊病。

从人治过渡到法制，需要一个漫长的过程。作为一个企业来讲，也不可能在短期内仅仅通过建立一套管理体系就能够彻底改变企业的发展现状。我认为企业唯有转变自身意识，踏踏实实的根据自身情况，从纵向的职能管理（人治）向以横向的流程管理（法治）逐步地进行演变，最终探索出一条适合自身情况的法治与人治相结合的管理模式，才能给企业带来预期的成长，促进企业稳步正常的发展。

其次，从企业发展上来看，国内企业多数处于生存与快速成长的阶段。

根据所处阶段不同，企业发展可分为创业阶段、快速发展阶段和成熟阶段。国内真正处于成熟阶段的百年老店很少，绝大多数企业都处在创业或者快速发展时期，还没有进入真正需要精细化管理的阶段。

对于处在创业阶段或快速成长阶段的企业来讲，首先需要考虑的依然是生存问题。在这个阶段，企业的成功主要还是靠创业者的激情与能力、资源优势、外部机会等等，因此，企业的管理人员更重视规模扩张、营销手段、市场占有率这些能够带来较大收益的事物。为了完成既定目标，企业需要快速反应、高效运作和较强的执行能力，这个时期如果建立太多的规章制度和完善管理体系，反而有可能阻碍企业的正常发展，在此阶段企业需要更多的人治模式。

但随着市场的激烈竞争，企业间的优胜劣汰，企业将进入越来越完善的成熟阶段，企业的业务规模逐渐扩大，随之内部的组织变得复杂、人员之间的配合逐渐增多，部门之间的业务关系更是错综复杂。在这个阶段，法制化的管理体系显得尤为重要，企业需要建立一套自身的游戏规则，重点关注信息管理、流程管理、风险管理，并对管理体系不断的进行细化和优化，根据外部市场环境和自身的状况不断调整和提高企业的管理水平。

最后，从民族文化上来看，中华文化与现代管理思想显得格格不入。

现代的管理理论多半源于西方，在国内企业引进这些先进的管理思想的过程中，却发现绝大多数的国外先进管理方式在国内企业集体水土不服，这种现象主要是由于东方文化和西方文化的巨大差异所造成的。

由于文化的差异导致管理方式不同的现象很多，在这里我只简单的说一个方面。东方文化比较多的是强调整体的概念，对于整体好坏进行大是大非的评价，主要考量目标的完成情况，采用的是不太在乎中间具体过程的目标管理方式；而西方文化较多的是强调整体的各个组成部分，对整体进行必要的分解，对各个组成部分进行有效的管理及控制，采用的是过程管理方式。

这种由于文化差异造成观念上的不同，在中医与西医的治疗方式上也有较大的体现，中医强调人体是个有机的整体，对于疾病要从整体进行调理、治疗；而西医则在乎每种疾病的病理，对产生疾病的具体病因进行彻底分析，采取单项针对性的治疗措施。

就像现在看病就医可以采用中西医结合的方式一样，在进行现代的企业管理时，也需要在发挥国内传统的人治作用的同时，进入西方流程化的法治管理观念。不管人治与法治，都只是管理的手段与工具而已，如果运用得当则会发挥出相应的效力，取得很好的效果，如果运用不当则会被其所累而成为一种负担。

总结

虽然当前大多数企业在进行管理体系建设的过程中，都是困难重重、问题多多，但只要能够采取一种开放的心态，秉着追求卓越、精益求精的精神，最终，有效的管理体系必将像航船的风帆一样，对企业的发展起到强有力的推动作用。

文章出处：郎咸平说：《谁在谋杀中国经济：附身中国人的文化魔咒》 
东方出版社出版，2009。

什么叫做目标管理，我以大厨师炒菜为例，把鱼香肉丝炒到了顾客满意的程度就叫做目标管理，至于大厨师炒菜的方法，我们是不关注的。
 
什么叫做过程管理，我们把大厨师炒菜的步骤分成20个阶段，也就是20道工序。第1个人切葱花，第2个人切肉丝......第18个人倒2勺酱油，第19个人把火开到600摄氏度，第20个人炒3下。如果不好吃，就重新调整第2、第5、第9道工序；还不好吃，再重新调整第、第7、第14道工序；依旧不好吃，再调第18、第19道工序。就这样，经过无数次调整之后，第1001次的流程终于能够超出跟大厨师炒的一样好吃的采，在这个流程的要求下，葱花的长度必须是1.1厘米，肉丝的长度必须是1.3厘米，酱油必须是2勺老抽。以后就按照这个第1001次调整的流程炒菜，每一个人都按照每一个工序的严格要求来做，千万不能创新。每一个人都按照这个工序严格执行，至于鱼香肉丝好不好吃这个结果，就不是我们关心的。只按照流程办事而不管结果，就叫做过程管理。

目标管理有什么必然的缺点呢？
 
第一、这个大厨师一走，就把什么都带走了。所以我们需要的是一套过程管理，这样才能留住大厨师的手艺，此后我们根本就不需要大厨师了，而需要20个人（也叫螺丝钉）按照第1001次流程工序的要求来执行，最后炒出来的一定和那位走掉的大厨师水平一样。
 
第二，目标管理无法修改，因为我们根本不知道大厨师炒菜的方法，而过程管理可以修改，因为我们知道所有的流程，这就是两者最显著的差别。我们很多软件产品和高科技产品无法根据客户要求进行修改的原因就是没有这套流程，因此不知道怎么修改。
 
第三，过程管理才是高科技和资本密集行业的基础，这就是甲骨文三个版本的基础。他们利用的是过程管理，所以才知道每个工序的好坏对结果的影响，才可以通过管理20道工序使最终结果可以被控制，这就是，控制和管理的本质问题。如果无法管理20到工序，就无法控制最终结果。而目标管理就是大厨师端出什么菜就是什么菜了，对于改变已经炒出的菜，我们完全无能为力。
 
 我以中国企业的目标管理为例为例来说明，我们的调研结果显示，中国有43.2%的高新技术企业以市场需求为目标管理的目标。因此为了满足市场需求而赶进度，完全忽视高新技术产品的过程管理规律，这是造成高新技术产品研发问题多、质量差的主要原因。
 
甲骨文第三版还推出了所谓“原子性”的新功能——要么全部成功，要么全部失败，从而更进一步地强化流程管理。这个“原子性”是什么意思呢？那就是把炒鱼香肉丝的20道工序按2个工序一组，分成10个模块。比如，第一模块包括切葱花和肉丝，如果肉丝达标，而葱花不达标，那么整个第一模块将被退回，借此强化流程管理的严格性。所以原先必须管理20道流程，现在提升到只管理10个模块，大幅减少了工作量。
 
更多别的性能我就不多说了，我就请大家来想想这个“原子性”的原则。这个东西绝对不可能是中国人想出来的，就算有那么几个中国人想出来了，也会被老板臭骂一顿然后否决掉。为什么？因为这东西多烦人啊——要么全部成功，要么全部失败。万一哪个地方出了问题，那前面的活儿不全白干了吗？所以中国人的特点就是什么事都马马虎虎，差不多对付一下就算了。为什么会这样？因为我们太浮躁，太渴望结果，而不是过程管理。
 
中国新成立的高科技企业和倒闭的企业都很多，一批批“先烈”倒下去了，一批批后来者站起来。在国内，这是高科技企业的一个普遍现象。从20实际90年代开始，我就没有看到多少高科技企业能好过10年的，总是起来一批倒下一批。如果这种现象不断重演的话，可能3年后现在的企业又要倒下去一大批。我们不希望看到这种现象，我们需要的是像甲骨文一样的持续竞争力。
 
但是我们的企业对持续竞争力有着太多的误解，根据调查结果显示，中国只有15%的企业了解过程管理才是企业保持持续竞争力的关键，还有很多中国企业竟然认为技术人才（27.1%）和市场需要（43.2%）才是企业保持持续竞争力的关键。人才和技术只能替产品创造竞争力，但竞争力不是高新技科技成功的关键。只有持续竞争力才是关键，而持续竞争力必须依赖一个有效的过程管理体系创造出来。

当然不足够，这一点很明确，因为标准的工序流程化并不是我们的根本目的，而是我们为了达到目的的一种手段，是达到目的的基础。我们的目的是什么？是改进。我们来看看各管理体系是如何改进的。

ISO族的标准通常都提倡PDCA，本身通过PDCA的循环来进行的不断提高与改进；而CMMI是通过成熟度的概念来进行改进；制约法同样强调改进，通过消除制约因素来提高效率，但消除一个制约因素通常会产生其它的制约因素，所以就需要不断的改进。

所有的体系都强调改进，只是改进的方式方法不同而已，虽然有些体系并没有强调了“改进”这个词。我们可以说管理体系的第二个内在特质，那就是改进，也就是精益求精。

在说明这个问题之前呢，先简单的说明一个例子，有理工科背景的人都很容易理解，数学、物理、化学到最后几乎是没有明显的界限了，也就是说他们有共同的内在特质。那么，管理体系也应该一样，它们也具有共同的内在特质，是什么呢？那就是标准的工序流程化。

ISO族的标准都是要求先对所有的工作进行标准化定义，这就是工序流程化的典型思想，例如质量管理一定是对所有的操作步骤进行标准定义，然后严格执行，如ISMS管理体系可以将各个控制点嵌入到各个标准的工作流程。其它的如CMMI、ITIL的思想都是一样，都是进行标准的工序流程化定义。

我们再来说一下产业链整合和制约法的思想，乍一看和标准的工序流程化没什么关系，但是如果仔细的想想，它们的本质同样是标准的工序流程化。如产业链整合，是将企业的所有产业链从上游到下游进行有效的整合，提高企业的运转效率，那么整合的前提是什么呢？就是标准的工序流程化。同样的道理，制约法的思想也是一样，为了找到生产环节个制约因素，那么同样要进行标准的工序流程化。

理解了各管理体系的内在特质，就不会为了做体系而做体系，同样，深刻理解管理体系的内在特质，各个管理体系的整合也就顺理成章，因为，我们有了清晰的指导原则，那就是标准的工序流程化。

好的文章并不需要长长的篇幅，不需要旁征博引，而需要看是否是自己的切身体会，是否能够深入精髓。

作者：王二乐

做了这么多年管理体系相关的工作，收获最大的则是PDCA的持续改进方法和理念。多年的观察发现，成功的客户并不是一开始就准备建立一套完美的管理体系，而是着重于建立一套持续改进的机制并让人们逐渐认可并接受PDCA的方法和理念。

PDCA的每个字母代表着一个动作，P（Plan）代表策划。策划本身代表着动态过程，即与企业或产品的生命周期有关，也就是从无到有，从有到优的过程。策划首先以目标和结果实现为导向，通过有效的资源使用实现最终结果的可预测性和目标的精准性。这也是现代西方科学管理突破我们的传统经验管理最大瓶颈的贡献，即实现了工作的可预测、可复制的规模化要求。成功的策划主要通过分块管理，使复杂的事情通过模块化后简单化，分类管理，通过专业化分工使人力资源能发挥自己的优势且易于培养，分级管理，使工作能够按照重要性和优先度进行分级授权管理，平衡工作的效率和风险控制难题。

正如《论语》所述，“季文子三思而后行。子闻之，曰：再斯可矣”。再好的策划也必须落实到实际行动和实践中，否则就成了纸上谈兵。PDCA的D（Do）代表实施。实施最关注的就是执行的效率和效果，而这与策划的可实施性以及监控考核的程度有很大关系。PDCA的C（ Check）代表检查。管理的结果告诉我们，人们通常只做他们被检查和考核而不是所期望的，也就是说监控和检查是管理很重要的手段和方法，检查可以驱动人们的执行力。

PDCA的A（Act）代表改进。对于循序渐进的改进我们往往并不关注和重视，工作中容易强调一些自己控制不了或影响不了的客观原因，而对自己可以改变的部分总认为不值得做。这是国人和西方人最不同的地方。前段时间遇到一个老海龟博士，他第一天上班，***总理问他美国人和中国人最大的不同是什么？他当时的回答是：美国人主要看地方和社区新闻，而中国人看全国的新闻联播。美国人只关心身边的事情，而中国人多关心国家大事。这种文化和习惯体现在工作中就是国人对一些身边力所能及的调优和改进工作不太有兴趣，而这正是PDCA的精华所在。

通常企业都会通过聘请外部顾问以项目的形式，来进行自身信息安全管理体系的建设，咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划，当体系建立完成后，最终由企业内部推行人员自行维护，推动体系的正常运转。通过这种方式来进行体系的建设，能够最大程度发挥咨询顾问的经验，使企业不会在体系的建设过程中迷失方向，但是，在项目结束咨询顾问撤场后，企业内部体系推行人员却显得无所适从，或者在体系的推行过程中显得并不是非常的得心应手，问题在哪里呢?主要是以下几个方面：

首先，在风险处置过程中所输出的众多信息安全管控措施难以统一规划，并且缺少各项控制措施与信息安全风险的一一对应。

众所周知，在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析，系统的分析出企业所面临的各项风险，并对各项风险采取合理、有效的管控措施。在风险评估的过程中，企业所面临的信息安全风险的类别，以及每一类信息风险中实际风险的个数无疑是非常大的，并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别，如何对数量庞大的风险及管控措施进行合理的规划，对于企业来说无疑是一个很大的难题，尤其对于组织规模比较庞大的企业更是如此，因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。

其次，信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。

信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度，并在体系运行的过程中将产生大量的记录，如何对这些文件进行分门别类的管理，并且很好的对其中的逻辑性与一致性进行控制，这对于体系维护人员来讲是一个不大不小的难题。

最后，体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化。

信息安全管理体系在进行PDCA循环运行中，控制措施测量、内审及管理评审是体系进行持续改进的发动机，但是，由于这些活动关系到企业的各个部门，组织、策划、协调起来非常的困难，因此，如何将这些活动的组织策划自动化、实施程序系统化，并且实施过程记录完整化是体系推行人员一个非常大的挑战。

如何对上面提到的这些问题进行有效的规避，即要发挥传统咨询模式的优点，又能够避免传统咨询模式的不足，使企业的信息安全管理体系实施更加有效呢?谷安天下经过多年的沉淀积累，总结了相关领域咨询经验，形成完善的信息安全体系建设方法论，通过结合IT风险控制体系建设流程及知识库，GooISMS能满足各级组织的IT风险控制体系建设需求。

GooISMS-信息安全体系建设系统包括安全体系规划、安全体系设计、安全体系实施、安全体系保障四个主要模块。这四个主要模块的功能说明如下：

　　1) 安全体系规划：分析识别出的信息安全改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

　　2) 安全体系设计：建立体系相关部门、人员、职责及联系信息，体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

　　3) 安全体系实施：将各个任务实施的情况记录到系统中，对各项任务的实施的状态执行有效跟踪，并且评价各个任务实施的有效性。

　　4) 安全体系保障：对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调，并对内审、外审、管理评审的过程进行记录，对各不符合项及预防措施进行记录及状态跟踪。

GooISMS-信息安全体系建设系统充分与信息安全管理体系咨询方法论进行结合，对体系建设过程提供完整的安全规划方法论，有效提高安全规划的合理性，提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。

在ISMS的控制(Check)阶段，需要做的事情有两个方面，一是根据有效性测量的结果对ISMS进行评价，另外一个需要对有效性测量体系进行评价，两方面的工作具体来说为：

1. 评价ISMS运作：体系管理组根据指标分解的层次，对指标进行计算、整合及分析，检查各层次指标是否满足目标要求，并对整体状况进行评估，得出ISMS做的好的方面以及需要改进的方面。
2.  评价测量指标：根据测量、分析结果，评价有效性测量体系的贡献，并从中找到需要改进的区域，调整测量指标体系，为ISMS有效性的测量更好的提供服务。

在ISMS的改进阶段，基于控制阶段的分析，对ISMS及测量指标体系分别进行改进，使之鞥好的为ISMS服务。

在ISMS的运作阶段，需要对有效性测量体系进行详细的设计，主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析：

1. 分析有效性测量需求：对于策划阶段的各类有效性测量的输入进行归纳整理，在这个基础上还可以考虑加入一些其它方面的只要指标，比如ISMS的重要活动、信息安全管理的日常操作等，这些方面统一分析整理，最终得出一套需要进行测量的重要指标。
2. 有效性测量指标分解：对归纳出来的各项重要指标做进一步分解，对应到ISMS的各项具体度量项，并为每项设定度量目标的阀值。
3. 测量指标采集方案设计：测量指标采集方案的设计是将各项指标如何测量进行定义，包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行，指标采集频度可以根据不同的指标区别对待，在制定责任人时应尽量避免由操作者直接测量自己工作的指标。
4. 有效性测量指标的记录：按照测量指标采集方案的频率进行检查，并且按照时间线进行记录，记录的数据应客观准确，这样才能真正的反映问题。

在此阶段的过程中，测量指标的选取是一个重点，同时也是一个难点，不能测量的指标过少，但同时也没有比较所有的控制点全部进行测量，下面是一个测量指标分类的参考，可根据实际情况选取一些关键的指标进行度量。

• 管理控制措施：如安全目标、安全意识等方面；
• 业务流程：如风险评估和处理、选择控制措施等；
• 运营措施：如备份、防范恶意代码、存储介质等方面；
• 技术控制措施：如防火墙、入侵检测、补丁管理等；
• 审核、回顾和测试：如内审、外审、技术符合性检查等；

前面我们谈到了进行有效性测量的必要性以及建立测量指标体系的原则，那么如何建立一个有效性测量的体系呢？下面我结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。

1. ISMS的Plan策划阶段

随着整个ISMS的策划，有效性测量的工作其实已经可以开展，这个阶段主要是收集有效性测量的需求，为有效性测量提供输入，是进行有效性测量指标体系设计的基础。具体的活动如下：

• 1） ISMS目标建立：有效性测量一定要与组织的业务目标相关，是为了组织的核心业务目标而测量的，这是进行有效性测量的第一要点。在ISMS策划阶段建立组织ISMS的业务目标时，一定使ISMS的目标能够反映组织的业务目标，并且这个目标需要遵守SMART原则，即要具体(Specific)，可量化(Measurable)，¬可达成(Achievable or Attainable)，现实的(Realistic)，并且有限定的时间期限(Timely)。
• 2) 利害相关方关注收集：在ISMS的策划阶段，可以收集各利害相关人的关注点，比如：客户的信息安全关注点、股东或高层的信息安全关注点、上级或监管机构的信息安全关注点等，这些都是建设ISMS的重要信息输入，同时也是有效性测量的重点关注内容。
• 3) 历年安全事件的总结：信息安全事件的频次，能够在一定程度上反映出组织信息安全的薄弱环节，这些高频次的安全事件可作为有效性测量的一个重点，来跟踪验证针对信息安全事件的安全措施是否有效。如以往病毒发作的安全事件比较高，那么可以将病毒的发作次数、病毒软件的安装率、操作系统的补丁更新率作为有效性测量的指标来进行测量，以反映出防病毒控制措施的有效性。
• 4) 信息安全高风险归纳：在策划阶段进行风险评估中的信息安全高风险，是需要组织必须要处理的，而且这些高风险同时是需要被重点跟踪的，因此所有的信息安全高风险必须能够反映到有效性测量的指标体系中去，来验证信息安全高风险的控制措施是否有效。

按照上面所讲的方面进行有效性测量的需求信息收集，来为有效性测量提供有力的输入信息，这样在进行有效性测量指标的设计时，就能够做到有理有据。

在对ISMS进行有效性测量的时候，我们应该遵循什么样的原则呢？我认为只要遵循“有依据、可操作、能比较”这三点原则，那么设计出来的有效性测量体系就是比较好的。这三点原则说明如下：

1) 有依据：有效性测量的过程中，不是为了测量而测量，不是为了标准而测量，各项指标的设定一定要有理有据，每个测量的指标都应当能够具体反映出ISMS的运行状态。

2) 可操作：一个不能操作的测量指标体系是没有意义的，所以有效性测量指标体系一定是清晰、明确，具体可操作的，而同时又是容易收集、不能花费太大的成本的，否则设计再好的测量指标体系都无法真正的贯彻执行。

3) 能比较：有效性测量的结果一定是可比较的，可以通过量化的数值、图形化的参考来展现测量的结果，这样能够清晰、直观的观察到ISMS的状态趋势。

言归正传，做文章嘛就得有个开头，最为通俗的开头莫过于为什么要做这件事情，所以首先需要阐述的就是，为什么需要对ISMS进行有效性测量？换句话说，进行ISMS有效性测量的意义及价值是什么？

1.对信息安全管理目标的考核

组织在建立ISMS时都会依据组织业务的发展、各利益相关方安全要求及组织的信息安全管理水平等，来设定自身信息安全管理的目标，通过有效性测量，不但可以很好的对信息安全目标达到的程度进行考核，准确的衡量ISMS的绩效，而且还能够为管理层对信息安全管理的资源投入提供数据依据。

2.ISMS持续改进的重要依据

在建立ISMS时，通常都会进行风险评估及风险处理措施的实施，如果不进行有效行测量，就不能反映出当前组织的各安全措施的效果如何，即无法表现出信息安全的改进在哪些方面。通过有效性测量，能够更充分的反映出当前组织的信息安全存在问题及问题的严重程度，为今后的信息安全的工作重点提供有力的依据。

3.信息安全管理工作的绩效考核

有效性测量结果不仅是衡量ISMS绩效的重要标准，也是对信息安全管理组织工作绩效的一个有利的侧面展示，通过有效性测量的数据，不但可以使管理者清晰的了解信息安全管理工作，而且还能增强信息安全管理工作人员的信心。

4.满足标准（ISO 27001）的符合性要求

众所周知，ISO 27001标准中明确要求组织定义测量体系，并实施之获得数据，衡量所实施ISMS的有效性。通过ISMS有效性测量工作，不仅仅充分的满足了标准的要求，而且是推动ISMS持续改进的动力。