А если не происходит никаких инцидентов — это показатель хорошей или плохой работы службы?

Один из способов оценки результативности службы основан на технологии управления рисками, которая будет рассмотрена ниже. Другой способ (который может быть применен, впрочем, не только для службы информационной безопасности, но и для любой ИТ-службы) предложен General Services Administration's (GSA) Office of Governmentwide Policy (США) (Бюро правительственной политики по управлению общими службами) в книге "Восемь шагов к эффективному развитию и использованию средств измерения производительности в информационных технологиях" (Eight Steps То Develop and Use Information Technology Performance Measures Effectively). Выдержки из этого документа представлены в разд. "Восемь шагов к эффективному развитию и использованию средств измерения производительности в информационных технологиях (ИТ)"этой главы.

Контроль функционирования службы

Тем, кто собирается контролировать работу службы информационной безопасности, следует в первую очередь ознакомиться с организационной структурой предприятия и местом в ней службы безопасности. Далее следует опираться на имеющийся опыт проверки работы других предприятий и подразделений либо на логическое мышление. В конце концов, все организационные схемы, в том числе и оптимальные, придумывают люди, и человек с аналитическим складом ума может разобраться в их принципах.

Если при проведении проверки возникают вопросы в целесообразности организации работы именно сложившимся способом, необходимо получить разъяснения, на основании чего было принято решение именно такое.