许多人，包括许多安全专家，以二进制方式看待安全：我们要么安全，要么不安全。从各个方面来看，这是一个荒谬的观点。

安全是关于理解、衡量和管理风险。

用您提出的“成功”镜头来说明这一点：

1. 我们对威胁和实现的影响并不感到惊讶吗？
2. 与实际发生的威胁和影响相比，我们是否一直在监控和计算我们所知道的威胁的影响以及我们的缓解措施的有效性？
3. 我们是否一直在调整我们的缓解措施以应对不断变化的威胁，以便当它们成为现实时，其影响是可以容忍的？

如果我们可以对这些说“是”，那么我们就成功了。

这就是您衡量组织安全计划成功与否的方式，也是衡量您作为安全专业人员个人成功的方式。

追逐“安全”状态是一项愚蠢的任务，特别是考虑到 0-day 的现实以及组织的安全运营完全取决于非安全人员（甚至安全人员有时会弄错）这一事实。

成功之路关乎风险和弹性。

有正面和负面的测量，这取决于我们如何实施测量。

一些例子如下：

正面测量：

1. 减少报告的事件 - 向服务台报告的安全漏洞减少百分比
2. 安全事件的影响减少 - 安全漏洞和事件的影响减少百分比
3. SLA 符合性增加 - SLA 符合安全条款的百分比增加。

负测量：

1. 合规性和政策合规性 - 事件违规数量 合规性和政策
2. 已实施预防措施的数量 - 为应对已识别的安全威胁而实施的预防性安全措施的数量
3. 实施持续时间 - 从识别安全威胁到实施适当对策的持续时间
4. 重大安全事件数量 - 已识别安全事件的数量，按严重性类别分类
5. 安全相关服务停机次数 - 导致服务中断或可用性降低的安全事件数量
6. 安全测试次数 进行的安全测试和培训次数
7. 安全测试期间确定的缺陷数量 - 在测试期间确定的安全机制中确定的缺陷数量

资料来源：http ://www.isaca.org/Groups/Professional-English/itil/GroupDocuments/IT_Security_Management_ITILv3_KPIs_.pdf